Language:
Format:

Capítulo 6. Lançamento RHEL 8.3.0

6.1. Novas características

Esta parte descreve as novas características e principais melhorias introduzidas no Red Hat Enterprise Linux 8.3.

6.1.1. Instalador e criação de imagem

Anaconda rebaseado para a versão 33.16

Com este lançamento, o Anaconda foi rebaseado para a versão 33.16. Esta versão oferece as seguintes melhorias notáveis em relação à versão anterior.

O Programa de Instalação agora exibe endereços IPv6 estáticos em várias linhas e não redimensiona mais as janelas.
O Programa de Instalação agora exibe os tamanhos do setor de dispositivos NVDIMM suportados.
O nome do host agora está configurado corretamente em um sistema instalado com configuração estática IPv6.
Agora você pode usar caracteres não-ASCII em frases-passe de criptografia de disco.
O Programa de Instalação exibe uma recomendação apropriada para criar um novo sistema de arquivo em /boot, /tmp, e todos os pontos de montagem /var e /usr exceto /usr/local e /var/wwww.
O Programa de Instalação agora verifica corretamente o layout do teclado e não muda o status da tela Layout do Teclado quando as teclas do teclado (ALT SHIFT) são usadas para alternar entre diferentes layouts e idiomas.
O modo de salvamento não falha mais nos sistemas com partições RAID1 existentes.
A mudança da versão LUKS do recipiente está agora disponível na tela de particionamento manual.
O Programa de Instalação termina com sucesso a instalação sem o pacote btrfs-progs.
O Programa de Instalação agora usa a versão padrão LUKS2 para um recipiente criptografado.
O Programa de Instalação não trava mais quando um arquivo Kickstart coloca volumes físicos (PVs) de um grupo de volume lógico (VG) em uma lista de risco ignorada.
Introduz um novo caminho de montagem /mnt/sysroot para a raiz do sistema. Este caminho é usado para montar / do sistema alvo. Normalmente, a raiz física e a raiz do sistema são as mesmas, portanto /mnt/sysroot é anexado ao mesmo sistema de arquivo que /mnt/sysimage. As únicas exceções são os sistemas rpm-ostree, onde a raiz do sistema muda com base na implantação. Então, o /mnt/sysroot é anexado a um subdiretório de /mnt/sysimage. Recomenda-se o uso do /mnt/sysroot para o chroot.

(BZ#1691319, BZ#1679893, BZ#1684045, BZ#1688478, BZ#1700450, BZ#1720145, BZ#1723888, BZ#1754977, BZ#1755996, BZ#1784360, BZ#1796310, BZ#1871680)

Mudanças na GUI no Programa de Instalação RHEL

O Programa de Instalação RHEL agora inclui as seguintes configurações de usuário na janela Resumo da Instalação:

Senha de raiz
Criação do usuário

Com esta mudança, você pode agora configurar uma senha root e criar uma conta de usuário antes de iniciar a instalação. Anteriormente, você configurava uma senha de root e criava uma conta de usuário após iniciar o processo de instalação.

Uma senha root é usada para entrar na conta do administrador (também conhecida como superusuário ou root) que é usada para tarefas de administração do sistema. O nome do usuário é usado para fazer o login a partir de uma linha de comando; se você instalar um ambiente gráfico, então seu gerenciador de login gráfico usa o nome completo. Para mais detalhes, veja Performing a standard RHEL installation documento.

(JIRA:RHELPLAN-40469)

O Image Builder backend osbuild-composer substitui o lorax-composer

O backend osbuild-composer substitui o lorax-composer. O novo serviço fornece APIs REST para a construção de imagens. Como resultado, os usuários podem se beneficiar de um backend mais confiável e de imagens de saída mais previsíveis.

(BZ#1836211)

Image Builder osbuild-composer suporta um conjunto de tipos de imagens

Com a substituição do backend osbuild-composer, o seguinte conjunto de tipos de imagens suportadas no osbuild-composer desta vez:

Arquivo TAR (.tar)
QEMU QCOW2 (.qcow2)
VMware Virtual Machine Disk (.vmdk)
Amazon Machine Image (.ami)
Azure Disk Image (.vhd)
OpenStack Image (.qcow2)

As seguintes saídas não são suportadas desta vez:

sistema ext4-filesystem
disco particionado
Nuvem de Alibaba
Google GCE

(JIRA:RHELPLAN-42617)

Image Builder agora apóia o empurrar para as nuvens através da GUI

Com esta melhoria, ao criar imagens, os usuários podem escolher a opção de empurrar para as nuvens de serviço Azure e AWS através do GUI Image Builder. Como resultado, os usuários podem se beneficiar de uploads e instantâneos mais fáceis.

(JIRA:RHELPLAN-30878)

6.1.2. RHEL para Edge

Apresentando as imagens RHEL for Edge

Com este lançamento, você pode agora criar imagens RHEL personalizadas para servidores Edge.

Você pode usar o Image Builder para criar imagens RHEL for Edge e depois usar o instalador RHEL para implantá-las em sistemas AMD e Intel de 64 bits. O Image Builder gera uma imagem RHEL for Edge como rel-edge-commit em um arquivo .tar.

Uma imagem RHEL for Edge é uma imagem rpm-ostree que inclui pacotes de sistema para instalação remota da RHEL nos servidores Edge.

Os pacotes do sistema incluem:

Pacote de OS base
Podman como o motor do contêiner

Você pode personalizar a imagem para configurar o conteúdo do SO de acordo com suas necessidades, e pode implantá-los em máquinas físicas e virtuais.

Com uma imagem RHEL for Edge, você pode conseguir o seguinte:

Atualizações atômicas, onde o estado de cada atualização é conhecido e nenhuma mudança é vista até que você reinicie o dispositivo.
Verificações sanitárias personalizadas usando Greenboot e rollbacks inteligentes para resiliência em caso de atualizações falhadas.
Fluxos de trabalho focados em contêineres, onde é possível separar as atualizações do SO principal das atualizações da aplicação, e testar e implantar diferentes versões de aplicações.
Cargas úteis OTA otimizadas para ambientes de baixa largura de banda.
Verificações sanitárias personalizadas usando o Greenboot para garantir a resiliência.

Para mais informações sobre composição, instalação e gerenciamento das imagens RHEL for Edge, consulte Composição, instalação e gerenciamento das imagens RHEL for Edge.

(JIRA:RHELPLAN-56676)

6.1.3. Gestão de software

O valor padrão para a melhor opção de configuração dnf foi alterado de Verdadeiro para Falso

Com esta atualização, o valor para a melhor opção de configuração dnf foi definido para True no arquivo de configuração padrão para manter o comportamento dnf original. Como resultado, para os usuários que utilizam o arquivo de configuração padrão, o comportamento permanece inalterado.

Se você fornecer seus próprios arquivos de configuração, certifique-se de que a opção best=True esteja presente para manter o comportamento original.

(BZ#1832869)

Nova opção --norepopath para o comando dnf reposync já está disponível

Anteriormente, o comando reposync criou um subdiretório sob o diretório --download-path para cada repositório baixado, por padrão. Com esta atualização, a opção --norepopath foi introduzida, e o reposync não cria o subdiretório. Como resultado, o repositório é baixado diretamente para o diretório especificado por --download-path. Esta opção também está presente no YUM v3.

(BZ#1842285)

Habilidade de ativar e desativar os plugins libdnf

Anteriormente, a verificação da assinatura era codificada em código rígido na versão RHEL dos plug-ins libdnf. Com esta atualização, o utilitário microdnf pode ativar e desativar os plug-ins libdnf, e a verificação de assinatura pode agora ser desativada da mesma forma que no DNF. Para desativar a verificação de assinatura, use o comando --disableplugin=subscription-manager. Para desabilitar todos os plug-ins, use o comando --noplugins.

(BZ#1781126)

6.1.4. Conchas e ferramentas de linha de comando

Atualizações doReaR

RHEL 8.3 introduz uma série de atualizações na utilidade Relax-and-Recover(ReaR). As mudanças notáveis incluem:

Foi adicionado suporte para o gerenciamento de dados Rubrik Cloud Data Management (CDM) de terceiros como software de backup externo. Para utilizá-lo, defina a opção BACKUP no arquivo de configuração para CDM.
Criação de uma imagem de resgate com um arquivo maior que 4 GB no IBM POWER, pouca arquitetura endian foi habilitada.
O layout do disco criado pela ReaR não inclui mais entradas para os dispositivos Rancher 2 Longhorn iSCSI e sistemas de arquivo.

(BZ#1743303)

smartmontools rebaseado para a versão 7.1

O pacote smartmontools foi atualizado para a versão 7.1, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

Adições de HDD, SSD e USB ao banco de dados da unidade.
Novas opções -j e --json para habilitar o modo de saída JSON.
Solução para a resposta incompleta das subpáginas de Log de algumas SSDs SAS.
Melhor manuseio do comando READ CAPACITY.
Várias melhorias para a decodificação das páginas de registro.

(BZ#1671154)

opencryptoki rebaseado para a versão 3.14.0

Os pacotes opencryptoki foram atualizados para a versão 3.14.0, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

Melhorias no serviço criptográfico EP11:
- Suporte de dilítio
- Suporte ao algoritmo de assinatura digital Edwards-curve (EdDSA)
- Suporte de Rivest-Shamir-Adleman com almofada de criptografia assimétrica ideal (RSA-OAEP) com hash não-SHA1 e função de geração de máscara (MGF)
Processo aprimorado e travamento da rosca
Melhora no bloqueio de árvores e objetos
Suporte para o novo hardware IBM Z z15
Suporte de múltiplas instâncias token para módulo de plataforma confiável (TPM), arquitetura criptográfica IBM (ICA) e instalação de serviço criptográfico integrado (ICSF)
Adicionada uma nova ferramenta p11sak, que lista as chaves token em um repositório de token openCryptoki
Adicionado um utilitário para migrar um repositório de fichas para criptografia compatível com FIPS
Ferramenta fixa pkcsep11_migrate
Pequenas correções do software do ICSF

(BZ#1780293)

gpgme rebaseado para a versão 1.13.1.

Os pacotes gpgme foram atualizados para a versão upstream 1.13.1. Mudanças notáveis incluem:

Novas bandeiras de contexto sem cache de chaves (tem um efeito quando usado com GnuPG 2.2.7 ou posterior), request-origin (tem um efeito quando usado com GnuPG 2.2.6 ou posterior), auto-localização de chaves, e modelo de confiança foram introduzidos.
A nova ferramenta gpgme-json como servidor nativo de mensagens para navegadores web foi adicionada. A partir de agora, a criptografia e decodificação de chaves públicas é suportada.
Foi introduzida uma nova API de criptografia para suportar a especificação direta de chaves, incluindo a opção de recipientes ocultos e a retirada de chaves de um arquivo. Isto também permite o uso de uma subchave.

(BZ#1829822)

6.1.5. Serviços de infra-estrutura

powertop rebaseado para a versão 2.12

Os pacotes powertop foram atualizados para a versão 2.12. Mudanças notáveis em relação à versão 2.11, anteriormente disponível, incluem:

Uso do Device Interface Power Management (DIPM) para link SATA PM.
Suporte aos sistemas móveis e desktop Intel Comet Lake, ao servidor Skylake e à arquitetura Tremont baseada em Atom (Jasper Lake).

(BZ#1783110)

sintonizado rebaseado para a versão 2.14.0

Os pacotes ajustados foram atualizados para a versão upstream 2.14.0. Melhorias notáveis incluem:

Foi introduzido o perfil de otimização-console de série.
Foi adicionado suporte para um perfil pós-carregado.
Foi adicionado o plugin do irqbalance para o manuseio das configurações do irqbalance.
Foi adicionado o ajuste específico de arquitetura para as plataformas Marvell ThunderX e AMD.
O plug-in do programador foi estendido para suportar cgroups-v1 para ajuste de afinidade de CPU.

(BZ#1792264)

tcpdump rebaseado para a versão 4.9.3

O utilitário tcpdump foi atualizado para a versão 4.9.3 para corrigir as Vulnerabilidades e Exposições Comuns (CVE).

(BZ#1804063)

libpcap rebaseada para a versão 1.9.1

Os pacotes da libpcap foram atualizados para a versão 1.9.1 para corrigir as Vulnerabilidades e Exposições Comuns (CVE).

(BZ#1806422)

iperf3 agora suporta a opção sctp no lado do cliente

Com esta melhoria, o usuário pode usar o Stream Control Transmission Protocol (SCTP) em vez do Transmission Control Protocol (TCP) no lado do cliente para testar o rendimento da rede.

As seguintes opções para o iperf3 estão agora disponíveis no lado do cliente dos testes:

--sctp
--xbind
--nstreams

Para obter mais informações, consulte Opções Específicas do Cliente na página de manual iperf3.

(BZ#1665142)

iperf3 agora suporta SSL

Com esta melhoria, o usuário pode usar a autenticação RSA entre o cliente e o servidor para restringir as conexões ao servidor apenas a clientes legítimos.

As seguintes opções para o iperf3 estão agora disponíveis no lado do servidor:

--rsa-private-key-path
--authorized-users-path

As seguintes opções para o iperf3 estão agora disponíveis no lado do cliente da comunicação:

--nome do usuário
--rsa-public-key-path

(BZ#1700497)

ligante rebaseado a 9.11.20

O pacote bind foi atualizado para a versão 9.11.20, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

Aumento da confiabilidade em sistemas com muitos núcleos de CPU, através da fixação de várias condições de corrida.
Relatório detalhado de erros: Dig e outras ferramentas podem agora imprimir a opção Extended DNS Error (EDE), se ela estiver presente.
Os IDs das mensagens nas transferências do Protocolo de Transferência de Zona DNS de entrada (AXFR) são verificados e registrados, quando são inconsistentes.

(BZ#1818785)

Um novo perfil TuneD de otimização-console serial para reduzir E/S para consoles seriais, baixando o valor da impressão

Com esta atualização, está disponível um novo perfil TuneD de otimização-console serial. Em alguns cenários, os drivers do kernel podem enviar grandes quantidades de operações de E/S para o console serial. Tal comportamento pode causar uma falta de resposta temporária enquanto a E/S é escrita no console serial. O perfil do console serial otimizado reduz esta E/S ao baixar o valor de impressão do padrão de 7 4 1 7 para 4 4 1 7. Os usuários com um console serial que desejarem fazer esta mudança em seu sistema podem instrumentar seu sistema da seguinte forma:

# perfil tuned-adm profile throughput performance optimize-console de série

Como resultado, os usuários terão um valor de impressão mais baixo que persiste durante uma reinicialização, o que reduz a probabilidade de que o sistema fique pendurado.

Este perfil TuneD reduz a quantidade de E/S escritas no console serial ao remover informações de depuração. Se você precisar coletar estas informações de depuração, você deve garantir que este perfil não esteja habilitado e que o valor de sua impressão esteja definido para 7 4 1 7. Para verificar o valor da execução da impressão:

# cat /proc/sys/kernel/printk

(BZ#1840689)

Novos perfis TuneD adicionados para as plataformas baseadas em AMD

No RHEL 8.3, o perfil de desempenho de produção TuneD foi atualizado para incluir o ajuste para as plataformas baseadas em AMD. Não há necessidade de alterar nenhum parâmetro manualmente e a sintonia é aplicada automaticamente no sistema AMD. Os sistemas AMD Epyc Naples e Roma alteram os seguintes parâmetros no perfil padrão de desempenho de produção:

sched_migration_cost_ns=5000000 e kernel.numa_balancing=0

Com esta melhoria, o desempenho do sistema é melhorado em ~5%.

(BZ#1746957)

relembrado para a versão 1.5.22

Os pacotes memcached foram atualizados para a versão 1.5.22. As mudanças notáveis em relação à versão anterior incluem:

O TLS foi ativado.
A opção -o inline_ascii_response foi removida.
A opção -Y [authfile] foi adicionada junto com o modo de autenticação para o protocolo ASCII.
memcached pode agora recuperar seu cache entre as reinicializações.
Novos meta comandos experimentais foram adicionados.
Várias melhorias de desempenho.

(BZ#1809536)

6.1.6. Segurança

Cyrus O SASL agora suporta a ligação de canais com os plug-ins SASL/GSSAPI e SASL/GSS-SPNEGO

Esta atualização adiciona suporte para a fixação de canais com os plug-ins SASL/GSSAPI e SASL/GSS-SPNEGO. Como resultado, quando usado nas bibliotecas openldap, este recurso permite que Cyrus SASL mantenha compatibilidade e acesso ao Microsoft Active Directory e aos sistemas Microsoft Windows que estão introduzindo a vinculação obrigatória de canais para conexões LDAP.

(BZ#1817054)

Libreswan rebaseado para 3,32

Com esta atualização, Libreswan foi rebaseada para a versão 3.32, que inclui várias novas características e correções de bugs. As características notáveis incluem:

Libreswan não requer mais a certificação separada FIPS 140-2.
Libreswan agora implementa as recomendações criptográficas do RFC 8247, e muda a preferência de SHA-1 e RSA-PKCS v1.5 para SHA-2 e RSA-PSS.
Libreswan suporta interfaces ipsecXX virtuais XFRMi que simplificam a escrita de regras de firewall.
A recuperação de nós que se chocaram e reinicializaram em uma rede de criptografia de malha completa é melhorada.

(BZ#1820206)

A biblioteca libssh foi rebaseada para a versão 0.9.4

A biblioteca libssh, que implementa o protocolo SSH, foi atualizada para a versão 0.9.4.

Esta atualização inclui correções e melhorias de bugs, inclusive:

Adicionado suporte para as chaves Ed25519 em arquivos PEM.
Adicionado suporte para o algoritmo de troca de chaves diffie-hellman-group14-sha256.
Adicionado suporte ao usuário local na palavra-chave Match no arquivo de configuração do cliente libssh.
Os critérios decorrespondência de argumentos de palavras-chave agora são sensíveis a maiúsculas e minúsculas (note que as palavras-chave não são sensíveis a maiúsculas e minúsculas, mas os argumentos de palavras-chave são sensíveis a maiúsculas e minúsculas)
CVE-2019-14889 e CVE-2020-1730 fixos.
Adicionado suporte para a criação recorrente de diretórios ausentes encontrados na cadeia de caminho fornecida para o arquivo conhecido do anfitrião.
Adicionado suporte para chaves OpenSSH em arquivos PEM com comentários e espaços brancos principais.
Removido a inclusão da configuração do servidor OpenSSH da configuração do servidor libssh.

(BZ#1804797)

gnutls rebaseados para 3.6.14

Os pacotes de gnutls foram rebaseados para a versão upstream 3.6.14. Esta versão fornece muitas correções e melhorias de bugs, mais notadamente:

gnutls agora rejeita certificados com campos de tempo que contenham caracteres inválidos ou formatação.
gnutls agora verifica os certificados CA de confiança para tamanhos mínimos de chaves.
Ao exibir uma chave privada criptografada, o utilitário certtool não inclui mais sua descrição em texto simples.
Os servidores que utilizam gnutls agora anunciam o suporte de grampeamento OCSP.
Os clientes que utilizam gnutls agora enviam grampos OCSP somente mediante solicitação.

(BZ#1789392)

gnutls FIPS DH verifica agora em conformidade com NIST SP 800-56A rev. 3

Esta atualização dos pacotes de gnutls fornece verificações exigidas pela Publicação Especial NIST 800-56A Revisão 3, seções 5.7.1.1 e 5.7.1.2, etapa 2. A mudança é necessária para futuras certificações FIPS 140-2. Como resultado, os gnutls agora aceitam apenas parâmetros 2048-bit ou maiores da RFC 7919 e RFC 3526 durante a troca de chaves Diffie-Hellman quando operando no modo FIPS.

(BZ#1849079)

gnutls agora realiza validações de acordo com NIST SP 800-56A rev 3

Esta atualização dos pacotes gnutls acrescenta as verificações exigidas pela Publicação Especial NIST 800-56A Revisão 3, seções 5.6.2.2.2.2 e 5.6.2.1.3, etapa 2. A adição prepara os gnutls para futuras certificações FIPS 140-2. Como resultado, os gnutls realizam etapas adicionais de validação para chaves públicas geradas e recebidas durante a troca de chaves Diffie-Hellman quando operando no modo FIPS.

(BZ#1855803)

update-crypto-policies e fips-mode-setup mudado para crypto-policies-scripts

Os scripts update-crypto-policies e fips-mode-setup, que anteriormente estavam incluídos no pacote crypto-policies, são agora movidos para um subpacote separado RPM crypto-policies-scripts. O pacote é instalado automaticamente através do pacote Recomenda a dependência de instalações regulares. Isto permite que a imagem ubi8/ubi-minimal evite a inclusão do intérprete da linguagem Python e assim reduz o tamanho da imagem.

(BZ#1832743)

OpenSC rebaseado para a versão 0.20.0

O pacote opensc foi rebaseado para a versão 0.20.0 que trata de múltiplos bugs e problemas de segurança. Mudanças notáveis incluem:

Com esta atualização, CVE-2019-6502, CVE-2019-15946, CVE-2019-15945, CVE-2019-19480, CVE-2019-19481 e CVE-2019-19479 as questões de segurança são resolvidas.
O módulo OpenSC agora suporta as funções C_WrapKey e C_UnwrapKey.
Agora você pode usar a facilidade para detectar a inserção e remoção de leitores de cartões, como esperado.
O utilitário pkcs11 agora suporta o atributo CKA_ALLOWED_MECHANISMS.
Esta atualização permite a detecção padrão dos cartões OsEID.
A Carta OpenPGP v3 agora suporta Elliptic Curve Cryptography (ECC).
O PKCS#11 URI agora truncata o nome do leitor com elipse.

(BZ#1810660)

stunnel rebaseado para a versão 5.56

Com esta atualização, o invólucro de criptografia do stunnel foi rebaseado para a versão 5.56 a montante, que inclui várias novas características e correções de bugs. As características notáveis incluem:

Novas opções de ticketKeySecret e ticketMacSecret que controlam a confidencialidade e a proteção da integridade dos bilhetes de sessão emitidos. Estas opções permitem retomar sessões em outros nós em um cluster.
Nova opção de curvas para controlar a lista de curvas elípticas no OpenSSL 1.1.0 e posteriores.
Nova opção de ciphersuites para controlar a lista de ciphersuites TLS 1.3 permitidos.
Adicionados sslVersion, sslVersionMin e sslVersionMax para OpenSSL 1.1.0 e posteriores.

(BZ#1808365)

libkcapi rebaseada para a versão 1.2.0

O pacote libkcapi foi rebaseado para a versão upstream 1.2.0, que inclui pequenas mudanças.

(BZ#1683123)

setools rebaseados para 4.3.0

O pacote setools, que é uma coleção de ferramentas projetadas para facilitar a análise política da SELinux, foi atualizado para a versão 4.3.0.

Esta atualização inclui correções e melhorias de bugs, inclusive:

Método sediff revisado para regras de Type Enforcement (TE), que reduz significativamente os problemas de memória e tempo de execução.
Acrescentou suporte de contexto infiniband ao seinfo, sediff, e apol.
Adicionada configuração apol para a localização da ferramenta Qt assistente utilizada para exibir a documentação on-line.
Problemas fixos com sediff:
- Cabeçalho de propriedades exibindo quando não solicitado.
- Comparação de nomes de arquivos de tipo_transição.
Permissão fixa para o envio de informações para a direção do fluxo de informações.
Acrescentou métodos à classe TypeAttribute para torná-la uma coleção Python completa.
Genfscon agora procura classes, em vez de usar valores fixos que foram descartados da libsepol.

O pacote de setools requer os seguintes pacotes:

setools-console
setools-console-analises
setools-gui

(BZ#1820079)

Os arquivos e diretórios CephFS individuais podem agora ter etiquetas SELinux

O Sistema de Arquivos Ceph (CephFS) permitiu recentemente o armazenamento de etiquetas SELinux nos atributos estendidos dos arquivos. Anteriormente, todos os arquivos em um volume CephFS eram etiquetados com um único sistema de etiquetas comum_u:object_r:cephfs_t:s0. Com esta melhoria, é possível mudar as etiquetas para arquivos individuais, e o SELinux define as etiquetas dos arquivos recém-criados com base nas regras de transição. Note que arquivos anteriormente não rotulados ainda têm a etiqueta system_u:object_r:cephfs_t:s0 até serem explicitamente modificados.

(BZ#1823764)

OpenSCAP rebaseado para a versão 1.3.3

Os pacotes openscap foram atualizados para a versão upstream 1.3.3, que fornece muitas correções e melhorias em relação à versão anterior, mais notadamente:

Adicionado o script autotailor que lhe permite gerar arquivos sob medida usando uma interface de linha de comando (CLI).
Adicionada a parte de fuso horário à Lista de Verificação de Configuração Extensível Formato de Descrição de Testes (XCCDF) Carimbos de início e fim de tempo
Acrescentou a sonda independente do conteúdo do yamlfile como um rascunho de implementação.
Introduziu a urna:xccdf:fix:script:kubernetes fix tipo em XCCDF.
Capacidade adicional de gerar a correção machineconfig.
A ferramenta oscap-podman pode agora detectar alvos ambíguos de escaneamento ambíguos.
A sonda rpmverifyfile pode agora verificar os arquivos do diretório /bin.
Corrigidas falhas quando regexes complicados são executados na sonda de conteúdo de arquivo de texto58.
As características de avaliação do relatório XCCDF são agora consistentes com as entidades OVAL da sonda system_info.
Correspondência fixa do padrão de caminho de arquivo no modo off-line na sonda de conteúdo de arquivo de texto58.
Fixada a repetição infinita na sonda de dependência do sistema.

(BZ#1829761)

O Guia de Segurança SCAP agora fornece um perfil alinhado com o CIS RHEL 8 Benchmark v1.0.0

Com esta atualização, os pacotes scap-security-guide fornecem um perfil alinhado com o CIS Red Hat Enterprise Linux 8 Benchmark v1.0.0. O perfil permite que você endureça a configuração do sistema usando as diretrizes do Center for Internet Security (CIS). Como resultado, você pode configurar e automatizar a conformidade de seus sistemas RHEL 8 com o CIS usando o CIS Ansible Playbook e o perfil CIS SCAP.

Note que a regra rpm_verify_permissions no perfil do CIS não funciona corretamente.

(BZ#1760734)

guia de segurança da scap agora fornece um perfil que implementa o HIPAA

Esta atualização dos pacotes de guia de segurança do seguro de saúde acrescenta o perfil da Health Insurance Portability and Accountability Act (HIPAA) ao conteúdo de conformidade de segurança RHEL 8. Este perfil implementa as recomendações descritas no website da Regra de Privacidade da HIPAA.

A Norma de Segurança HIPAA estabelece as normas nacionais dos EUA para proteger as informações eletrônicas de saúde pessoal dos indivíduos que são criadas, recebidas, usadas ou mantidas por uma entidade coberta. A Regra de Segurança requer salvaguardas administrativas, físicas e técnicas apropriadas para garantir a confidencialidade, integridade e segurança das informações de saúde protegidas eletronicamente.

(BZ#1832760)

guia de segurança de scap-guia rebaixado para 0,1,50

Os pacotes scap-security-guide, que contêm o mais recente conjunto de políticas de segurança para sistemas Linux, foram atualizados para a versão 0.1.50.

Esta atualização inclui correções e melhorias de bugs, mais notadamente:

O conteúdo possível foi melhorado: numerosas regras contêm remediações possíveis pela primeira vez e outras regras foram atualizadas para resolver problemas de correção.
Correções e melhorias no conteúdo do scap-security-guide para varredura dos sistemas RHEL7, inclusive:
- Os pacotes de guias de segurança scap agora fornecem um perfil alinhado com a marca de referência CIS RHEL 7 v2.2.0. Observe que a regra rpm_verify_permissions no perfil CIS não funciona corretamente; veja rpm_verify_permissions fails in the CIS profile known issue.
- Os perfis do Guia de Segurança SCAP agora desabilitam e mascaram corretamente os serviços que não devem ser iniciados.
- As regras de auditoria dos comandos privilegiados nos pacotes de guia de segurança de scap agora funcionam corretamente para comandos privilegiados.
- A remediação da regra dconf_gnome_login_banner_text nos pacotes scap-security-guide não falha mais incorretamente.

(BZ#1815007)

SCAP Workbench pode agora gerar remediações baseadas em resultados a partir de perfis personalizados

Com esta atualização, você pode agora gerar funções de remediação baseadas em resultados a partir de perfis personalizados usando a ferramenta SCAP Workbench.

(BZ#1640715)

Nova função possível fornece implantações automatizadas dos clientes Clevis

Esta atualização do pacote rhel-system-roles introduz o papel do sistema nbde_client RHEL. Esta função possível permite que você implante vários clientes Clevis de forma automatizada.

(BZ#1716040)

Novo papel possível agora pode criar um servidor Tang

Com esta melhoria, você pode implantar e gerenciar um servidor Tang como parte de uma solução automatizada de criptografia de disco com o novo papel do sistema nbde_server. O nbde_server Ansible role, que está incluído no pacote rhel-system-roles, suporta as seguintes características:

Chaves Tang rotativas
Implantação e backup de chaves Tang

Para mais informações, consulte as chaves de servidor Tang rotativo.

(BZ#1716039)

clevis rebaseada para a versão 13

Os pacotes clevis foram rebaseados para a versão 13, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

clevis luks unlock pode ser usado no dispositivo com um arquivo chave no modo não-interativo.
clevis encripta tpm2 analisa o campo pcr_ids se a entrada for dada como uma matriz JSON.
A página man clevis-luks-unbind(1 ) não se refere mais apenas ao LUKS v1.
clevis luks bind não escreve mais para um slot inativo, se a senha dada estiver incorreta.
clevis luks bind agora funciona enquanto o sistema utiliza o local não-inglês.
Suporte adicional para tpm2-tools 4.x.

(BZ#1818780)

clevis luks edit permite editar uma configuração de pino específica

Esta atualização dos pacotes clevis introduz o novo sub-comando clevis luks edit que permite editar uma configuração de pino específica. Por exemplo, agora você pode alterar o endereço URL de um servidor Tang e o parâmetro pcr_ids em uma configuração TPM2. Você também pode adicionar e remover novos pinos sss e alterar o limiar de um pino sss.

(BZ#1436735)

clevis luks bind -y agora permite encadernação automatizada

Com este aprimoramento, Clevis suporta a encadernação automatizada com o parâmetro -y. Agora você pode usar a opção -y com o comando clevis luks bind, que responde automaticamente às solicitações subseqüentes com yes. Por exemplo, ao usar um pino Tang, você não é mais obrigado a confiar manualmente nas teclas Tang.

(BZ#1819767)

fapolicyd rebaseado para a versão 1.0

Os pacotes fapolicyd foram rebaseados para a versão 1.0, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

O problema de sincronização de múltiplos fios foi resolvido.
Desempenho aprimorado com redução do tamanho do banco de dados e do tempo de carregamento.
Uma nova opção de confiança para o pacote fapolicyd no arquivo fapolicyd.conf foi adicionada para personalizar o back end de confiança. Você pode adicionar todos os arquivos, binários e scripts confiáveis ao novo arquivo /etc/fapolicyd/fapolicyd.trust.
Você pode gerenciar o arquivo fapolicyd.trust usando o CLI.
Você pode limpar ou descarregar o banco de dados usando o CLI.
O pacote fapolicyd substitui o banco de dados mágico para uma melhor decodificação dos scripts. O CLI imprime o tipo MIME do arquivo semelhante ao comando de arquivo de acordo com a substituição.
O arquivo /etc/fapolicyd/fapolicyd.rules suporta um grupo de valores como valores de atributo.
O daemon fapolicyd tem uma opção syslog_format para definir o formato dos eventos de auditoria/silog.

(BZ#1817413)

fapolicyd agora fornece sua própria política SELinux em fapolicyd-selinux

Com este aprimoramento, a estrutura fapolicyd agora fornece sua própria política de segurança SELinux. O daemon está confinado sob o domínio fapolicyd_t e a política é instalada através do subpacote fapolicyd-selinux.

(BZ#1714529)

USBGuard rebaseado para a versão 0.7.8

Os pacotes usbguard foram rebaseados para a versão 0.7.8, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

O parâmetro HidePII=true|false no arquivo /etc/usbguard/usbguard-daemon.conf pode agora ocultar informações pessoalmente identificáveis das entradas de auditoria.
O arquivo AuthorizedDefault=keep|none|all|internal parameter in the /etc/usbguard/usbguard-daemon.conf pode predefinir o estado de autorização dos dispositivos controladores.
Com o novo atributo de regra tipo com-conexão, os usuários podem agora distinguir o tipo de conexão do dispositivo.
Os usuários podem agora anexar regras temporárias com a opção -t. As regras temporárias permanecem na memória apenas até que o daemon reinicie.
as regras da lista usbguard podem agora filtrar regras de acordo com determinadas propriedades.
usbguard gerar-política pode agora gerar uma política para dispositivos específicos.
O comando usbguard allow|block|reject pode agora lidar com as cadeias de regras, e um alvo é aplicado em cada dispositivo que corresponda à cadeia de regras especificada.
Novos subpacotes usbguard-notifier e usbguard-selinux estão incluídos.

(BZ#1738590)

OUSBGuard oferece muitas melhorias para usuários corporativos de desktop

Esta adição ao projeto USBGuard contém melhorias e correções de bugs para melhorar a usabilidade para usuários corporativos de desktop. As mudanças importantes incluem:

Para manter o arquivo de regras /etc/usbguard/rules.conf limpo, os usuários podem definir vários arquivos de configuração dentro do diretório RuleFolder=/etc/usbguard/rules.d/. Por padrão, o RuleFolder é especificado no arquivo /etc/usbguard/usbguard/rules.conf.
A ferramenta usbguard-notifier agora fornece notificações GUI. A ferramenta notifica o usuário sempre que um dispositivo é conectado ou desconectado e se o dispositivo é permitido, bloqueado ou rejeitado por qualquer usuário.
Agora você pode incluir comentários nos arquivos de configuração, porque as linhas usbguard-daemon não mais parses começando com #.

(BZ#1667395)

USBGuard agora fornece sua própria política SELinux em usbguard-selinux

Com este aprimoramento, a estrutura USBGuard agora fornece sua própria política de segurança SELinux. O daemon está confinado sob o domínio usbguard_t e a política é instalada através do subpacote usbguard-selinux.

(BZ#1683567)

alibcap agora suporta capacidades ambientais

Com esta atualização, os usuários são capazes de conceder capacidades ambientais no login e evitar a necessidade de ter acesso às raízes para os processos adequadamente configurados.

(BZ#1487388)

A biblioteca da libseccomp foi rebaseada para a versão 2.4.3

A biblioteca da libseccomp, que fornece uma interface para o mecanismo de filtragem de chamadas do sistema seccomp, foi atualizada para a versão 2.4.3.

Esta atualização fornece numerosas correções e melhorias de bugs. As mudanças notáveis incluem:

Atualizou a tabela de chamada de sistema para o Linux v5.4-rc4.
Não mais definindo valores __NR_x para chamadas de sistema que não existem.
__SNR_x é agora utilizado internamente.
Adicionado definir para __SNR_ppoll.
Corrigido um problema de multiplexação com chamadas de sistema s390/s390x shm*.
Removida a bandeira estática da compilação das ferramentas da libseccomp.
Suporte adicional para chamadas de sistema relacionadas ao io-uring.
Corrigido o problema do nome do módulo Python introduzido na versão v2.4.0; o módulo é nomeado seccomp como era anteriormente.
Corrigido um vazamento potencial de memória identificado pelo tilintar da ferramenta scmp_bpf_sim.

(BZ#1770693)

o móduloomamqp1 agora é suportado

Com esta atualização, o protocolo AMQP 1. 0 suporta o envio de mensagens para um destino no ônibus. Anteriormente, o Openstack usava o protocolo AMQP1 como padrão de comunicação, e este protocolo agora pode registrar mensagens em mensagens AMQP. Esta atualização introduz o sub-pacote rsyslog-omamqp1 para entregar o modo de saída omamqp1, que registra mensagens e as envia para o destino no ônibus.

(BZ#1713427)

OpenSCAP comprime conteúdo remoto

Com esta atualização, OpenSCAP utiliza a compressão gzip para transferir conteúdo remoto. O tipo mais comum de conteúdo remoto é a alimentação CVE baseada em texto, que aumenta de tamanho com o tempo e normalmente tem que ser baixada para cada varredura. A compressão gzip reduz a largura de banda para 10% da largura de banda necessária para o conteúdo não comprimido. Como resultado, isto reduz os requisitos de largura de banda em toda a cadeia entre o sistema escaneado e o servidor que hospeda o conteúdo remoto.

(BZ#1855708)

O Guia de Segurança SCAP agora fornece um perfil alinhado com o NIST-800-171

Com esta atualização, os pacotes de guia de segurança da scap proporcionam um perfil alinhado com a norma NIST-800-171. O perfil permite endurecer a configuração do sistema de acordo com os requisitos de segurança para proteção de Informações Não Classificadas Controladas (CUI) em sistemas de informação não-federais. Como resultado, é mais fácil configurar os sistemas para serem alinhados com a norma NIST-800-171.

(BZ#1762962)

6.1.7. Trabalho em rede

Os módulos de rastreamento de conexão IPv4 e IPv6 foram fundidos no módulo nf_conntrack

Este aprimoramento funde os módulos de rastreamento de conexão nf_conntrack_ipv4 e nf_conntrack_ipv6 Netfilter no módulo do kernel do nf_conntrack. Devido a esta mudança, a lista negra dos módulos específicos da família de endereços não funciona mais no RHEL 8.3, e você pode colocar na lista negra apenas o módulo nf_conntrack para desativar o suporte de rastreamento de conexão tanto para os protocolos IPv4 como IPv6.

(BZ#1822085)

firewalld rebaseado para a versão 0.8.2

Os pacotes firewalld foram atualizados para a versão 0.8.2, que fornece uma série de correções de bugs em relação à versão anterior. Para detalhes, veja as Notas de Lançamento do firewalld 0.8.2.

(BZ#1809636)

NetworkManager rebaseado para a versão 1.26.0

Os pacotes NetworkManager foram atualizados para a versão upstream 1.26.0, que fornece uma série de melhorias e correções de bugs em relação à versão anterior:

O NetworkManager restabelece a auto-negociação, velocidade e ajuste duplex para seu valor original ao desativar um dispositivo.
Os perfis Wi-Fi conectam-se agora automaticamente se todas as tentativas de ativação anteriores falharem. Isto significa que uma falha inicial na conexão automática à rede não mais bloqueia o automatismo. Um efeito colateral é que os perfis Wi-Fi existentes que antes estavam bloqueados agora se conectam automaticamente.
As páginas de homem nm-settings-nmcli(5 ) e nm-settings-dbus(5 ) foram adicionadas.
Foi adicionado suporte para uma série de parâmetros de ponte.
Foi adicionado suporte para as interfaces de encaminhamento e encaminhamento virtual (VRF). Para mais detalhes, consulte Reutilização permanente do mesmo endereço IP em interfaces diferentes.
Foi adicionado suporte ao modo de criptografia sem fio Opportunistic Wireless Encryption mode (OWE) para redes Wi-Fi.
O NetworkManager agora suporta prefixos de 31 bits em links IPv4 ponto-a-ponto de acordo com a RFC 3021.
O utilitário nmcli agora suporta a remoção de configurações usando a modificação da conexão nmcli
O NetworkManager não cria e ativa mais dispositivos escravos se faltar um dispositivo mestre.

Para maiores informações sobre mudanças notáveis, leia as notas de lançamento a montante:

(BZ#1814746)

O XDP é condicionalmente suportado

A Red Hat suporta o recurso eXpress Data Path (XDP) somente se todas as condições a seguir se aplicarem:

Você carrega o programa XDP em uma arquitetura AMD ou Intel de 64 bits
Você usa a biblioteca libxdp para carregar o programa no kernel
O programa XDP usa um dos seguintes códigos de retorno: XDP_ABORTED, XDP_DROP, ou XDP_PASS
O programa XDP não utiliza a descarga de hardware XDP

Para detalhes sobre os recursos XDP não suportados, veja Visão geral dos recursos XDP que estão disponíveis como Technology Preview

(BZ#1889736)

xdp-tools é totalmente suportado

O pacote xdp-tools, que contém utilitários de suporte de espaço do usuário para o recurso eXpress Data Path (XDP) do kernel, é agora suportado nas arquiteturas AMD e Intel 64-bit. Isto inclui a biblioteca libxdp, o utilitário xdp-loader para carregar programas XDP, o programa de exemplo xdp-filter para filtragem de pacotes e o utilitário xdpdump para capturar pacotes de uma interface de rede com o XDP habilitado.

(BZ#1820670)

O utilitário dracut por padrão agora usa o NetworkManager no disco RAM inicial

Anteriormente, o utilitário dracut estava usando um script shell para gerenciar a rede no disco RAM inicial, initrd. Em certos casos, isto poderia causar problemas. Por exemplo, o NetworkManager envia outro pedido DHCP, mesmo que o script no disco RAM já tenha solicitado um endereço IP, o que poderia resultar em um timeout.

Com esta atualização, o dracut por padrão agora usa o NetworkManager no disco RAM inicial e evita que o sistema se depare com problemas. Caso você queira voltar à implementação anterior e recriar as imagens do disco RAM, use os seguintes comandos:

# echo 'add_dracutmodules+=" network-legacy "' > /etc/dracut.conf.d/enable-network-legacy.conf

# dracut -vf --regenerate-all

(BZ#1626348)

A configuração da rede na linha de comando do kernel foi consolidada sob o parâmetro ip

Os parâmetros ipv6, netmask, gateway e hostname para definir a configuração da rede na linha de comando do kernel foram consolidados sob o parâmetro ip. O parâmetro ip aceita formatos diferentes, tais como os seguintes:

ip=__IP_address__:__peer__:__gateway_IP_address__:__net_mask__:__host_name__:__interface_name__:__configuration_method__

Para mais detalhes sobre os campos individuais e outros formatos que este parâmetro aceita, veja a descrição do parâmetro ip na página de manual dracut.cmdline(7).

Os parâmetros ipv6, netmask, gateway e hostname não estão mais disponíveis no RHEL 8.

(BZ#1905138)

6.1.8. Kernel

Versão do Kernel em RHEL 8.3

O Red Hat Enterprise Linux 8.3 é distribuído com o kernel versão 4.18.0-240.

(BZ#1839151)

Filtro de Pacote Extendido Berkeley para RHEL 8.3

A Extended Berkeley Packet Filter (eBPF) é uma máquina virtual in-kernel que permite a execução do código no espaço do kernel, no ambiente restrito do sandbox com acesso a um conjunto limitado de funções. A máquina virtual executa um código especial tipo montagem.

O bytecode eBPF primeiro carrega para o kernel, seguido por sua verificação, tradução do código para o código da máquina nativa com compilação just-in-time, e depois a máquina virtual executa o código.

A Red Hat envia inúmeros componentes que utilizam a máquina virtual eBPF. Cada componente está em uma fase de desenvolvimento diferente e, portanto, nem todos os componentes são atualmente totalmente suportados. Na RHEL 8.3, os seguintes componentes eBPF são suportados:

O pacote de ferramentas BPF Compiler Collection (BCC), que fornece ferramentas para análise de E/S, redes e monitoramento de sistemas operacionais Linux usando eBPF
A biblioteca BCC que permite o desenvolvimento de ferramentas similares àquelas fornecidas no pacote de ferramentas BCC.
O recurso eBPF for Traffic Control (tc), que permite o processamento de pacotes programáveis dentro do caminho de dados do kernel da rede.
O recurso eXpress Data Path (XDP), que fornece acesso aos pacotes recebidos antes que a pilha do kernel em rede os processe, é suportado sob condições específicas. Para mais detalhes, consulte a seção Rede das Notas de Relase.
O pacote libbpf, que é crucial para aplicações relacionadas ao bpf como bpftrace e desenvolvimento bpf/xdp. Para mais detalhes, consulte a nota de lançamento dedicada à libbpf, totalmente suportada.
O pacote xdp-tools, que contém utilitários de suporte de espaço do usuário para o recurso XDP, é agora suportado nas arquiteturas AMD e Intel 64-bit. Para obter mais detalhes, consulte a seção Rede das Notas de Lançamento.

Observe que todos os outros componentes eBPF estão disponíveis como Technology Preview, a menos que um componente específico seja indicado como suportado.

Os seguintes componentes notáveis eBPF estão atualmente disponíveis como Technology Preview:

A linguagem bpftrace tracing
O soquete AF_XDP para conectar o caminho eXpress Data Path (XDP) ao espaço do usuário

Para mais informações sobre os componentes da Technology Previews, consulte Technology Previews.

(BZ#1780124)

Cornelis Networks Omni-Path Architecture (OPA) Host Software

O software hospedeiro Omni-Path Architecture (OPA) é totalmente suportado no Red Hat Enterprise Linux 8.3. OPA fornece hardware Host Fabric Interface (HFI) com inicialização e configuração para transferências de dados de alto desempenho (alta largura de banda, alta taxa de mensagens, baixa latência) entre nós de computação e de E/S em um ambiente agrupado.

Para instruções sobre a instalação da arquitetura Omni-Path, consulte o arquivo Notas de versão do software Intel® Omni-Path Fabric.

(BZ#1893174)

TSX agora está desativado por padrão

A partir do RHEL 8.3, o kernel agora tem a tecnologia Intel® Transactional Synchronization Extensions (TSX) desativada por padrão para melhorar a segurança do sistema operacional. A mudança se aplica às CPUs que suportam a desativação TSX, incluindo os Processadores Escaláveis Intel® Xeon® de segunda geração (anteriormente conhecidos como Cascade Lake com chipsets Intel® C620 Series).

Para usuários cujas aplicações não utilizam TSX, a mudança remove a penalidade de desempenho padrão do TSX Asynchronous Abort (TAA) mitigações sobre os Processadores Escaláveis Intel® Xeon® de 2ª Geração.

A mudança também alinha o comportamento do kernel RHEL com o upstream, onde TSX foi desativado por padrão desde o Linux 5.4.

Para ativar TSX, adicione o parâmetro tsx=on à linha de comando do kernel.

(BZ#1828642)

RHEL 8.3 agora suporta o recurso de rastreamento do proprietário da página

Com esta atualização, você pode usar o recurso de rastreamento do proprietário da página para observar a utilização da memória do kernel no nível de alocação de página.

Para habilitar o rastreador de páginas, execute as seguintes etapas :

# grubby --args="page_owner=on" --update-kernel=0
# reboot

Como resultado, o rastreador do proprietário da página rastreará o consumo de memória do kernel, o que ajuda a depurar vazamentos de memória do kernel e a detectar os drivers que utilizam muita memória.

(BZ#1825414)

EDAC para AMD EPYC™ A série de processadores 7003 é agora suportada

Este aprimoramento fornece suporte a dispositivos de detecção e correção de erros (EDAC) para processadores da série AMD EPYC™ 7003. Anteriormente, erros de memória corrigidos (EC) e não corrigidos (UEs) não eram relatados nos sistemas baseados nos processadores da série AMD EPYC™ 7003. Com esta atualização, tais erros agora serão relatados usando EDAC.

(BZ#1735611)

Flamegraph é agora suportado com a ferramenta perf

Com esta atualização, a ferramenta de linha de comando perf suporta flamegraphs para criar uma representação gráfica do desempenho do sistema. Os dados do perf são agrupados em amostras com pilhas de retrocessos similares. Como resultado, estes dados são convertidos em uma representação visual para permitir uma identificação mais fácil de áreas de código computacionalmente intensivo. Para gerar um flamegraph usando a ferramenta perf, execute os seguintes comandos:

$ perf script record flamegraph -F 99 -g -- stress --cpu 1 --vm-bytes 128M --timeout 10s
stress: info: [4461] dispatching hogs: 1 cpu, 0 io, 0 vm, 0 hdd
stress: info: [4461] successful run completed in 10s
[ perf record: Woken up 1 times to write data ]
[ perf record: Captured and wrote 0.060 MB perf.data (970 samples) ]
$ perf script report flamegraph
dumping data to flamegraph.html

Nota : Para gerar flamegrafos, instale o js-d3-flame-graph rpm.

(BZ#1281843)

/dev/random e /dev/urandom são agora condicionalmente alimentados pelo Kernel Crypto API DRBG

No modo FIPS, os geradores /dev/random e /dev/urandom pseudorandom number são alimentados pelo Kernel Crypto API Deterministic Random Bit Generator (DRBG). As aplicações em modo FIPS utilizam os dispositivos mencionados como fonte de ruído compatível com FIPS, portanto os dispositivos têm que empregar algoritmos aprovados por FIPS. Para atingir este objetivo, os ganchos necessários foram adicionados ao driver /dev/random. Como resultado, os ganchos são habilitados no modo FIPS e fazem com que /dev/random e /dev/urandom para se conectar ao Kernel Crypto API DRBG.

(BZ#1785660)

libbpf totalmente apoiada

O pacote libbpf, crucial para aplicações relacionadas ao bpf como bpftrace e desenvolvimento bpf/xdp, é agora totalmente suportado.

É um espelho da árvore bpf-next linux bpf-next/tools/lib/bpf directory mais seus arquivos de cabeçalho de suporte. A versão do pacote reflete a versão da Interface Binária de Aplicação (ABI).

(BZ#1759154)

o utilitáriolshw agora fornece informações adicionais da CPU

Com este aprimoramento, o utilitário Listar Hardware (lshw) exibe mais informações sobre a CPU. O campo versão da CPU agora fornece a família, modelo e detalhes passo a passo dos processadores do sistema em formato numérico como versão

(BZ#1794049)

kernel-rt árvore de origem foi atualizada para a árvore RHEL 8.3

As fontes do kernel-rt foram atualizadas para usar a mais recente árvore de fontes do kernel do Red Hat Enterprise Linux. O conjunto de correções em tempo real também foi atualizado para a última versão upstream, v5.6.14-rt7. Ambas as atualizações fornecem uma série de correções e melhorias de bugs.

(BZ#1818138, BZ#1818142)

tpm2-ferramentas rebaseadas para a versão 4.1.1

O pacote tpm2-tools foi atualizado para a versão 4.1.1, que fornece uma série de adições, atualizações e remoções de comandos. Para mais detalhes, veja o pacote Updates to tpm2-tools na solução RHEL8.3.

(BZ#1789682)

O adaptador de rede Mellanox ConnectX-6 Dx é agora totalmente suportado

Este aprimoramento acrescenta as IDs PCI do adaptador de rede Mellanox ConnectX-6 Dx ao driver mlx5_core. Nos hosts que utilizam este adaptador, a RHEL carrega o driver mlx5_core automaticamente. Este recurso, anteriormente disponível como uma previsão tecnológica, agora é totalmente suportado no RHEL 8.3.

(BZ#1782831)

drivermlxsw rebaseado para a versão 5.7

O driver mlxsw é atualizado para a versão upstream 5.7 e inclui as seguintes novas características:

O recurso de ocupação de buffer compartilhado, que fornece dados de ocupação de buffer.
O recurso de queda de pacotes, que permite monitorar a camada 2, camada 3, túneis e queda da lista de controle de acesso.
Apoio de policias de armadilhas de pacotes.
Suporte à configuração de prioridade de porta padrão usando o agente Link Layer Discovery Protocol (LLDP).
Seleção de Transmissão Aprimorada (ETS) e Filtro Token Bucket (TBF) disciplina de fila de apoio à descarga.
O modo de enfileiramento em fila vermelha está habilitado para evitar quedas prematuras de pacotes.
O recurso de prioridade de ação de edição de skbedit da classe de tráfego SKB permite a troca de metadados de pacotes e complementa com o TOS ( Pedit Traffic Class Offloading).

(BZ#1821646)

6.1.9. Sistemas de arquivo e armazenamento

A LVM pode agora gerenciar volumes VDO

O LVM agora suporta o segmento Virtual Data Optimizer (VDO) tipo. Como resultado, agora você pode usar utilitários LVM para criar e gerenciar volumes VDO como volumes lógicos LVM nativos.

A VDO fornece recursos de desduplicação em bloco em linha, compressão e provisionamento fino.

Para mais informações, consulte Deduplicando e comprimindo volumes lógicos sobre a RHEL.

(BZ#1598199)

A pilha SCSI agora funciona melhor com adaptadores de alto desempenho

O desempenho da pilha SCSI foi melhorado. Como resultado, a próxima geração de adaptadores de ônibus host de alto desempenho (HBAs) são agora capazes de IOPS (I/Os por segundo) mais altos na RHEL.

(BZ#1761928)

O driver do megaraid_sas foi atualizado para a versão mais recente

O driver do megaraid_sas foi atualizado para a versão 07.713.01.00-rc1. Esta atualização fornece várias correções de erros e melhorias relacionadas à melhoria do desempenho, melhor estabilidade dos adaptadores MegaRAID suportados, e um conjunto de recursos mais rico.

(BZ#1791041)

Stratis agora lista o nome do pool em erro

Quando você tenta criar um pool Stratis em um dispositivo de bloco que já está em uso por um pool Stratis existente, o utilitário Stratis relata agora o nome do pool existente. Anteriormente, o utilitário listava apenas a etiqueta UUID do pool.

(BZ#1734496)

FPIN ELS suporte de notificação de quadros

O driver lpfc Fibre Channel (FC) agora suporta as Notificações de Impacto de Desempenho de Tecido (FPINs) relativas à integridade do link, que ajudam a identificar problemas no nível do link e permitem que o switch escolha um caminho mais confiável.

(BZ#1796565)

Novos comandos para depurar metadados LVM on-disk

O utilitário pvck, que está disponível no pacote lvm2, agora fornece comandos de baixo nível para depurar ou resgatar metadados LVM on-disk em volumes físicos:

Para extrair metadados, use o comando pvck --dump.
Para reparar metadados, use o comando pvck --repair.

Para mais informações, consulte a página de manual pvck(8).

(BZ#1541165)

LVM RAID suporta integridade DM para evitar perda de dados devido a dados corrompidos em um dispositivo

Agora é possível adicionar a integridade do Device Mapper (DM) a uma configuração RAID LVM para evitar a perda de dados. A camada de integridade detecta a corrupção de dados em um dispositivo e alerta a camada RAID para corrigir os dados corrompidos através do RAID LVM.

Enquanto o RAID evita a perda de dados devido a falha do dispositivo, adicionar integridade a uma matriz RAID LVM evita a perda de dados devido a dados corrompidos em um dispositivo. Você pode adicionar a camada de integridade ao criar um novo RAID LVM, ou você pode adicioná-lo a um RAID LVM que já existe.

(JIRA:RHELPLAN-39320)

Armazenamento Resiliente (GFS2) apoiado em nuvens públicas AWS, Azure e Aliyun

O armazenamento resiliente (GFS2) é agora suportado em três grandes nuvens públicas, Amazon (AWS), Microsoft (Azure) e Alibaba (Aliyun) com a introdução do suporte de dispositivos de blocos compartilhados nessas plataformas. Como resultado, o GFS2 é agora um verdadeiro sistema híbrido de arquivos de cluster de nuvens com opções para uso tanto nas instalações quanto na nuvem pública. Para informações sobre a configuração de armazenamento em bloco compartilhado no Microsoft Azure e no AWS, veja Implementação do Red Hat Enterprise Linux 8 em plataformas de nuvem pública. Para informações sobre a configuração do armazenamento em bloco compartilhado no Alibaba Cloud, veja Configurando o Armazenamento em Bloco Compartilhado para um Cluster de Alta Disponibilidade da Red Hat no Alibaba Cloud.

(BZ#1900019)

O espaço do usuário agora suporta o mais recente daemon nfsdcld

O userspace agora suporta o último daemon nfsdcld, que é o único método de rastreamento de clientes com consciência de nome. Este aprimoramento garante a recuperação do cliente a partir do daemon knfsd de contêineres aberto ou bloqueado, sem qualquer corrupção de dados.

(BZ#1817756)

nconnect agora suporta múltiplas conexões simultâneas

Com este aperfeiçoamento, você pode usar a funcionalidade nconnect para criar várias conexões simultâneas a um servidor NFS, permitindo uma capacidade de balanceamento de carga diferente. Habilite a funcionalidade nconnect com a opção de montagem nconnect=X NFS, onde X é o número de conexões simultâneas a serem usadas. O limite de corrente é 16.

(BZ#1683394, BZ#1761352)

daemonnfsdcld para rastreamento de informações de clientes é agora suportado

Com este aprimoramento, o daemon nfsdcld é agora o método padrão no rastreamento de informações por cliente em um armazenamento estável. Como resultado, o NFS v4 executado em containers permite que os clientes recuperem as aberturas ou bloqueios após um reinício do servidor.

(BZ#1817752)

6.1.10. Alta disponibilidade e clusters

marca-passo rebaseado para a versão 2.0.4

O gerenciador de recursos de cluster Pacemaker foi atualizado para a versão 2.0.4, que fornece uma série de correções de bugs.

(BZ#1828488)

Nova propriedade de aglomerado de prioridade de atraso

O Pacemaker agora suporta a nova propriedade de cluster de prioridade-depósito, que permite configurar um cluster de dois nós para que, em uma situação de cérebro dividido, o nó com menos recursos funcionando seja o nó que é cercado.

A propriedade da delimitação de prioridade pode ser definida para uma duração de tempo. O valor padrão para esta propriedade é 0 (desabilitado). Se esta propriedade for definida para um valor diferente de zero, e o meta-atributo de prioridade for configurado para pelo menos um recurso, então em uma situação de cérebro dividido, o nó com a maior prioridade combinada de todos os recursos que correm sobre ele terá mais probabilidade de sobreviver.

Por exemplo, se você definir pcs resource default priority=1 e pcs property set priority-fencing-delay=15s e nenhuma outra prioridade for definida, então o nó que estiver rodando mais recursos terá mais probabilidade de sobreviver porque o outro nó esperará 15 segundos antes de iniciar a esgrima. Se um determinado recurso é mais importante que o resto, você pode dar-lhe uma prioridade maior.

O nó que executa o papel principal de um clone promocional receberá um ponto extra se uma prioridade tiver sido configurada para aquele clone.

Qualquer atraso definido com o atraso de cerca de prioridade será adicionado a qualquer atraso da pcmk_delay_base e pcmk_delay_max propriedades do dispositivo de cerca. Este comportamento permite algum atraso quando ambos os nós têm prioridade igual, ou ambos os nós precisam ser cercados por algum outro motivo além da perda do nó (por exemplo, on-fail=fencing é definido para uma operação de monitoramento de recursos). Se usado em combinação, recomenda-se definir a propriedade priority-fencing-delay para um valor significativamente maior do que o atraso máximo de pcmk_delay_base e pcmk_delay_max, para ter certeza de que o nó priorizado é preferido (o dobro do valor seria completamente seguro).

(BZ#1784601)

Novos comandos para gerenciar múltiplos conjuntos de padrões de recursos e operações

Agora é possível criar, listar, alterar e excluir vários conjuntos de padrões de recursos e operações. Ao criar um conjunto de valores padrão, você pode especificar uma regra que contenha expressões de recursos e operações. Isto permite, por exemplo, configurar um valor padrão de recurso para todos os recursos de um determinado tipo. Os comandos que listam os valores padrão existentes agora incluem múltiplos conjuntos de valores padrão em sua saída.

O recurso pcs [op] conjunto de padrões de criação de comando cria um novo conjunto de valores padrão. Ao especificar regras com este comando, somente expressões de recurso e op, incluindo e, ou e parênteses, são permitidas.
O recurso pcs [op] default set delete | remove comando remove conjuntos de valores padrão.
O comando de atualização do conjunto de recursos pcs [op] padrão muda os valores padrão em um conjunto.

(BZ#1817547)

Suporte para recursos de agrupamento de etiquetas

Agora é possível etiquetar recursos de cluster em um cluster Pacemaker com o comando pcs tag. Este recurso permite administrar um conjunto específico de recursos com um único comando. Você também pode usar o comando pcs tag para remover ou modificar uma tag de recurso e para exibir a configuração da tag.

Os comandos pcs resource enable, pcs resource disable, pcs resource manage, e pcs resource unmanage aceitam as tags IDs como argumentos.

(BZ#1684676)

Pacemaker agora apóia a recuperação através da desmobilização de um recurso promovido, em vez de pará-lo completamente

Agora é possível configurar um recurso promocional em um cluster Pacemaker para que quando uma ação de promoção ou monitoramento falhar para aquele recurso, ou a partição na qual o recurso está rodando perder quorum, o recurso será rebaixado mas não será totalmente interrompido.

Esta característica pode ser útil quando você prefere que o recurso continue disponível no modo não-promocionado. Por exemplo, se a partição de um banco de dados mestre perder quorum, você pode preferir que o recurso do banco de dados perca o papel de mestre, mas permaneça vivo no modo somente leitura para que aplicações que só precisam ler possam continuar a funcionar apesar do quorum perdido. Este recurso também pode ser útil quando uma desmobilização bem sucedida é suficiente para a recuperação e muito mais rápida do que um reinício completo.

Para apoiar esta característica:

O meta-atributo da operação em falta agora aceita um valor demoto quando usado com ações de promoção, como no exemplo a seguir:
```
pcs resource op add my-rsc promote on-fail=\i>"demote\i
```
O meta-atributo da operação em falta agora aceita um valor demoto quando usado com ações de monitoramento com intervalo definido para um valor diferente de zero e papel definido para Mestre, como no exemplo a seguir:
```
pcs resource op add my-rsc monitor interval==="10s=" on-fail==="demote==="Master=="
```
A propriedade de agrupamento sem políticas de quorum aceita agora um valor demoto. Quando definida, se uma partição de cluster perder quorum, quaisquer recursos promovidos serão despromovidos mas deixados em funcionamento e todos os outros recursos serão parados.

A especificação de um metaatributo demoto para uma operação não afeta como a promoção de um recurso é determinada. Se o nó afetado ainda tiver a maior pontuação de promoção, ele será selecionado para ser promovido novamente.

(BZ#1837747, BZ#1843079)

Novo parâmetro de configuração SBD_SYNC_RESOURCE_STARTUP SBD para melhorar a sincronização com Pacemaker

Para melhor controlar a sincronização entre SBD e Pacemaker, o arquivo /etc/sysconfig/sbd agora suporta o parâmetro SBD_SYNC_RESOURCE_STARTUP. Quando Pacemaker e pacotes SBD da RHEL 8.3 ou posterior são instalados e SBD é configurado com SBD_SYNC_RESOURCE_STARTUP=true, a SBD entra em contato com o daemon Pacemaker para obter informações sobre o estado do daemon.

Nesta configuração, o daemon Pacemaker aguardará até ser contatado pela SBD, tanto antes de iniciar seus subdomínios quanto antes da saída final. Como resultado, o Pacemaker não executará recursos se a SBD não puder se comunicar ativamente com ele, e o Pacemaker não sairá até que ele tenha relatado um encerramento gracioso à SBD. Isto evita a situação improvável que pode ocorrer durante um desligamento gracioso quando a SBD não detecta o breve momento em que nenhum recurso está funcionando antes que o Pacemaker finalmente se desligue, o que desencadearia uma reinicialização desnecessária. A detecção de um desligamento gracioso usando um aperto de mão definido também funciona no modo de manutenção. O método anterior de detectar um desligamento gracioso com base na ausência de recursos em funcionamento tinha que ser desativado no modo de manutenção, uma vez que os recursos em funcionamento não seriam tocados no desligamento.

Além disso, a habilitação deste recurso evita o risco de uma situação de "split-brain" em um cluster quando SBD e Pacemaker começam ambos com sucesso, mas a SBD não consegue contatar o pacemaker. Isto poderia acontecer, por exemplo, devido às políticas da SELinux. Nesta situação, o marca-passo assumiria que a SBD está funcionando quando não está. Com este novo recurso habilitado, o Pacemaker não completará a inicialização até que a SBD entre em contato com ele. Outra vantagem deste novo recurso é que, quando ativado, a SBD entrará em contato com o Pacemaker repetidamente, usando um batimento cardíaco, e é capaz de entrar em pânico no nó se o Pacemaker parar de responder a qualquer momento.

Nota

Se você editou seu arquivo /etc/sysconfig/sbd ou configurou a SBD através do PCS, então uma atualização RPM não irá puxar o novo parâmetro SBD_SYNC_RESOURCE_STARTUP. Nestes casos, para implementar este recurso você deve adicioná-lo manualmente a partir do arquivo /etc/sysconfig/sbd.rpmnew ou seguir o procedimento descrito na seção Configuração via ambiente da página de manual sbd(8).

(BZ#1718324, BZ#1743726)

6.1.11. Linguagens de programação dinâmica, servidores web e de banco de dados

Um novo fluxo de módulos: rubi:2.7

RHEL 8.3 introduz o Ruby 2.7.1 em um novo fluxo de módulo Ruby:2.7. Esta versão oferece uma série de melhorias de desempenho, correções de bugs e segurança e novas funcionalidades sobre o Ruby 2.6 distribuído com o RHEL 8.1.

As melhorias notáveis incluem:

Foi introduzido um novo Coletor de Lixo Compactável (GC). Este GC pode desfragmentar um espaço de memória fragmentado.
Ruby ainda Outro Compilador-Compilador (Racc) agora fornece uma interface de linha de comando para o Gerador de Parser de um-para-a-direita - LALR(1).
O ambiente de leitura e avaliação de impressão (REPL) do Ruby Shell interativo(irb), agora suporta edição de várias linhas.
A correspondência de padrões, freqüentemente utilizada em linguagens de programação funcional, foi introduzida como uma característica experimental.
O parâmetro numerado como parâmetro de bloco padrão foi introduzido como uma característica experimental.

As seguintes melhorias de desempenho foram implementadas:

A estratégia de cache de fibra foi alterada para acelerar a criação de fibra.
O desempenho do método CGI.escapeHTML foi melhorado.
O desempenho da classe Monitor e do módulo MonitorMixin foi melhorado.

Além disso, a conversão automática de argumentos de palavras-chave e argumentos posicionais foi depreciada. Na Ruby 3.0, os argumentos posicionais e os argumentos de palavras-chave serão separados. Para mais informações, consulte a documentação a montante.

Para suprimir avisos contra características experimentais, use a opção -W:no-experimental command line. Para desativar um aviso de depreciação, use a opção -W:no-deprecated da linha de comando ou adicione Warning[:deprecated] = falso ao seu código.

Para instalar o fluxo do módulo rubi:2.7, use:

#módulo yum instalar rubi:2.7

Se você quiser atualizar a partir do fluxo rubi:2.6, veja Mudando para um fluxo posterior.

(BZ#1817135)

Um novo fluxo de módulos: nodejs:14

Um novo fluxo de módulos, nodejs:14, está agora disponível. O Node.js 14, incluído no RHEL 8.3, oferece inúmeras novas características e correções de bugs e segurança sobre o Node.js 12 distribuído no RHEL 8.1.

As mudanças notáveis incluem:

O motor V8 foi atualizado para a versão 8.3.
Foi implementada uma nova Interface de Sistema WebAssembly experimental (WASI).
Um novo Async Local Storage API experimental foi introduzido.
O recurso de relatório de diagnóstico agora é estável.
Os APIs dos fluxos foram endurecidos.
As advertências dos módulos experimentais foram removidas.

Com o lançamento da assessoria RHEA-2020:5101, a RHEL 8 fornece o Node.js 14.15.0, que é a versão mais recente do Suporte de Longo Prazo (LTS) com maior estabilidade.

Para instalar o fluxo de módulos nodejs:14, use:

# yum module install nodejs:14

Se você quiser atualizar a partir do fluxo nodejs:12, veja Mudando para um fluxo posterior.

(BZ#1815402, BZ#1891809)

git rebaseado para a versão 2.27

Os pacotes de git foram atualizados para a versão upstream 2.27. Mudanças notáveis em relação à versão 2.18, anteriormente disponível, incluem:

O comando git checkout foi dividido em dois comandos separados:
- interruptor de git para gerenciar filiais
- git restore para gerenciar mudanças dentro da árvore de diretórios
O comportamento do comando git rebaseado agora é baseado no fluxo de trabalho de fusão por padrão em vez do patch anterior aplicar o fluxo de trabalho. Para preservar o comportamento anterior, defina a variável de configuração rebase.backend a ser aplicada.
O comando git difftool pode agora ser usado também fora de um repositório.
Quatro novas variáveis de configuração, {autor,committer}.{nome,e-mail}, foram introduzidas para substituir o usuário.{nome,e-mail} em casos mais específicos.
Várias novas opções foram adicionadas que permitem aos usuários configurar SSL para comunicação com proxies.
O manuseio de commits com mensagens de registro em codificação de caracteres não-UTF-8 foi melhorado nas utilidades de exportação rápida e importação rápida de git.
A extensão lfs foi adicionada como um novo pacote git-lfs. Git Large File Storage (LFS) substitui arquivos grandes por ponteiros de texto dentro do Git e armazena o conteúdo do arquivo em um servidor remoto.

(BZ#1825114, BZ#1783391)

Mudanças em Python

RHEL 8.3 introduz as seguintes mudanças no fluxo do módulo python38:3.8:

O intérprete Python foi atualizado para a versão 3.8.3, que fornece várias correções de erros.
O pacote python38-pip foi atualizado para a versão 19.3.1, e o pip agora suporta a instalação de rodas manylinux2014.

O desempenho do intérprete Python 3.6, fornecido pelos pacotes python3, foi significativamente melhorado.

As imagens dos recipientes ubi8/python-27, ubi8/python-36 e ubi8/python-38 agora suportam a instalação do utilitário pipenv a partir de um índice de pacotes personalizados ou de um espelho PyPI, se fornecido pelo cliente. Anteriormente, o pipenv só podia ser baixado a partir do repositório PyPI upstream, e se o repositório upstream não estivesse disponível, a instalação falhava.

(BZ#1847416, BZ#1724996, BZ#1827623, BZ#1841001)

Um novo fluxo de módulos: php:7.4

RHEL 8.3 apresenta o PHP 7.4, que fornece uma série de correções e melhorias sobre a versão 7.3.

Este lançamento introduz uma nova extensão experimental, Interface de Função Estrangeira (FFI), que permite chamar funções nativas, acessar variáveis nativas e criar e acessar estruturas de dados definidas em bibliotecas C. A extensão FFI está disponível no pacote php-ffi.

As seguintes extensões foram removidas:

A extensão wddx, removida da embalagem php-xml
A extensão da recodificação, removida do pacote php-recode.

Para instalar o fluxo do módulo php:7.4, use:

#módulo yum instalar php:7.4

Se você quiser atualizar do fluxo php:7.3, veja Mudando para um fluxo posterior.

Para detalhes sobre o uso do PHP no RHEL 8, veja Utilizando a linguagem PHP scripting.

(BZ#1797661)

Um novo fluxo de módulos: nginx:1.18

O servidor web e proxy nginx 1.18, que fornece uma série de correções de bugs, correções de segurança, novas características e melhorias em relação à versão 1.16, está agora disponível. As mudanças notáveis incluem:

Melhorias na taxa de solicitação HTTP e limitação de conexão foram implementadas. Por exemplo, as diretrizes limit_rate e limit_rate_after agora suportam variáveis, incluindo novas variáveis $limit_req_status e $limit_conn_status. Além disso, foi adicionado o modo dry-run para as diretrizes limit_conn_dry_run e limit_req_req_dry_run.
Uma nova diretiva auth_delay foi adicionada, o que permite o processamento atrasado de pedidos não autorizados.
As seguintes diretrizes agora suportam variáveis: grpc_pass, proxy_upload_rate, e proxy_download_rate.
Variáveis adicionais de protocolo PROXY foram adicionadas, nomeadamente $proxy_protocol_server_addr e $proxy_protocol_server_port.

Para instalar o fluxo nginx:1.18, use:

# yum instalar módulo nginx:1.18

Se você quiser atualizar do fluxo nginx:1.16, veja Mudando para um fluxo posterior.

(BZ#1826632)

Um novo fluxo de módulos: perl:5.30

A RHEL 8.3 apresenta o Perl 5.30, que fornece uma série de correções e melhorias em relação ao Perl 5.26 lançado anteriormente. A nova versão também deprecia ou remove certas características do idioma. As mudanças notáveis com impacto significativo incluem:

A matemática::BigInt::CalcEmu, arybase, e B::Debug módulos foram removidos
Os descritores de arquivo são agora abertos com uma bandeira close on-exec
Não é mais permitido abrir o mesmo símbolo que um arquivo e como um cabo de diretório
Os atributos de sub-rotina agora devem preceder as assinaturas de sub-rotina
Os atributos :locked e :uniq foram removidos
Listas de variáveis sem vírgulas em formatos não são mais permitidas
Não é mais permitido um operador de documentos aqui <<
Certos usos, antes depreciados, de uma pulseira esquerda sem forma({) em padrões de expressão regular não são mais permitidos
A sub-rotina AUTOLOAD() não pode mais ser herdada para funções não-método
O pragma de ordenação não permite mais especificar um algoritmo de ordenação
A sub-rotina B::OP::terse() foi substituída pela sub-rotina B::Concise::b_terse()
A função File::Glob::glob() foi substituída pela função File::Glob::bsd_glob()
A função dump( ) agora deve ser invocada totalmente qualificada como CORE::dump()
O operador yada-yada (...) é uma declaração agora, não pode ser usada como uma expressão
A atribuição de um valor não zero à variável $[ retorna agora um erro fatal
As variáveis $* e $# não são mais permitidas
Não é mais permitido declarar variáveis usando a função my( ) em um ramo de falsa condição
Usando as funções sysread( ) e syswrite() nas alças :utf8 agora retorna um erro fatal
A função pack() não retorna mais o formato malformado UTF-8
Pontos de código unicode com valor maior que IV_MAX não são mais permitidos
O Unicode 12.1 é agora suportado

Para atualizar de um fluxo de módulo perl anterior, veja Mudando para um fluxo posterior.

Perl 5.30 também está disponível como uma imagem de recipiente s2i-enabled ubi8/perl-530.

(BZ#1713592, BZ#1732828)

Um novo fluxo de módulos: perl-libwww-perl:6.34

O RHEL 8.3 introduz um novo pacote de módulos perl-libwww-perl:6.34, que fornece o pacote perl-libwww-perl para todas as versões do Perl disponível no RHEL 8. O pacote não modular perl-libwww-perl, disponível desde o RHEL 8.0, que não pode ser usado com outros fluxos Perl além do 5.26, foi obsoleto pelo novo fluxo padrão perl-libwwww-perl:6.34.

(BZ#1781177)

Um novo fluxo de módulos: perl-IO-Socket-SSL:2.066

Um novo fluxo de módulos perl-IO-Socket-SSL:2.066 está agora disponível. Este módulo fornece os pacotes perl-IO-Socket-SSL e perl-Net-SSLeay e é compatível com todos os fluxos Perl disponíveis no RHEL 8.

(BZ#1824222)

O fluxo do módulo squid:4 rebaseado para a versão 4.11

O servidor proxy Squid, fornecido pelo fluxo do módulo squid:4, foi atualizado da versão 4.4 para a versão 4.11. Este lançamento fornece vários bugs e correções de segurança, e várias melhorias, tais como novas opções de configuração.

(BZ#1829467)

Mudanças no fluxo do módulo httpd:2.4

RHEL 8.3 introduz as seguintes mudanças notáveis no Servidor HTTP Apache, disponível através do fluxo do módulo httpd:2.4:

O módulo mod_http2 rebaseado para a versão 1.15.7
Mudanças de configuração nas diretrizes H2Upgrade e H2Push
Uma nova diretiva de configuração do H2Padding para controlar o estofamento dos quadros de carga útil do HTTP/2
Numerosas correções de erros.

(BZ#1814236)

Apoio para o registro em diário da diretiva CustomLog em httpd

Agora é possível emitir logs de acesso (transferência) para o journald a partir do Servidor HTTP Apache usando uma nova opção para a diretiva CustomLog.

A sintaxe suportada é a seguinte:

CustomLog journald:formato prioritário|nickname

onde priority é qualquer cadeia de prioridade até o debug como usado na diretivaLogLevel.

Por exemplo, para fazer o log to journald usando o formato de log combinado, use:

CustomLog journald:info combinado

Observe que, ao utilizar esta opção, o desempenho do servidor pode ser menor do que ao efetuar logon diretamente em arquivos planos.

(BZ#1209162)

6.1.12. Compiladores e ferramentas de desenvolvimento

Novo conjunto de ferramentas GCC 10

O GCC Toolset 10 é um conjunto de ferramentas de compilação que fornece versões recentes de ferramentas de desenvolvimento. Ele está disponível como um Application Stream na forma de uma Coleção de Software no repositório AppStream.

O compilador GCC foi atualizado para a versão 10.2.1, que fornece muitas correções e melhorias de bugs que estão disponíveis no GCC upstream.

As seguintes ferramentas e versões são fornecidas pelo GCC Toolset 10:

Ferramenta	Versão
GCC	10.2.1
GDB	9.2
Valgrind	3.16.0
SystemTap	4.3
Dyninst	10.1.0
binutils	2.35
elfutils	0.180
dwz	0.12
fazer	4.2.1
strace	5.7
ltrace	0.7.91
annobin	9.29

Para instalar o GCC Toolset 10, execute o seguinte comando como raiz:

# yum instalar gcc-toolset-10

Para executar uma ferramenta do GCC Toolset 10:

$ scl habilita gcc-toolset-10 tool

Para executar uma sessão shell onde as versões de ferramentas do GCC Toolset 10 substituem as versões do sistema dessas ferramentas:

$ scl habilita gcc-toolset-10 bash

Para mais informações, consulte Utilizando o GCC Toolset.

Os componentes do GCC Toolset 10 estão disponíveis nas duas imagens do contêiner:

rhel8/gcc-toolset-10-toolchain, que inclui o compilador GCC, o depurador GDB, e a ferramenta de automação make.
rhel8/gcc-toolset-10-perftools, que inclui as ferramentas de monitoramento de desempenho, tais como SystemTap e Valgrind.
Para puxar uma imagem de recipiente, execute o seguinte comando como raiz:
```
# podman pull registry.redhat.io/
```
Observe que agora somente as imagens dos recipientes do GCC Toolset 10 são suportadas. As imagens de contêineres das versões anteriores do GCC Toolset são depreciadas.

Para detalhes sobre as imagens dos contêineres, veja Utilizando as imagens dos contêineres do GCC Toolset.

(BZ#1842656)

Rust Toolset rebaseado para a versão 1.45.2

O Rust Toolset foi atualizado para a versão 1.45.2. As mudanças notáveis incluem:

A árvore de carga de subcomandos para visualizar as dependências está agora incluída na carga.
A fundição de valores de ponto flutuante a inteiros produz agora um molde de fixação. Anteriormente, quando um valor de ponto flutuante truncado estava fora do intervalo para o tipo inteiro alvo, o resultado era um comportamento indefinido do compilador. Valores de ponto flutuante não finitos levavam também a um comportamento indefinido. Com este aprimoramento, os valores finitos são fixados no intervalo mínimo ou máximo do número inteiro. Valores infinitos positivos e negativos são, por padrão, fixados ao número inteiro máximo e mínimo respectivamente, valores Not-a-Number(NaN) a zero.
As macros de procedimentos funcionais em expressões, padrões e declarações são agora estendidas e estabilizadas.

Para instruções detalhadas sobre o uso, consulte Utilização do conjunto de ferramentas enferrujadas.

(BZ#1820593)

LLVM Toolset rebaseado para a versão 10.0.1

O conjunto de ferramentas LLVM foi atualizado para a versão 10.0.1. Com esta atualização, os pacotes de clang-libs não incluem mais bibliotecas de componentes individuais. Como resultado, não é mais possível vincular aplicações contra elas. Para vincular aplicações contra as bibliotecas de clang, use o pacote libclang-cpp.so.

Para mais informações, consulte Utilizando o conjunto de ferramentas LLVM.

(BZ#1820587)

Go Toolset rebaseado para a versão 1.14.7

O Go Toolset foi atualizado para a versão 1.14.7 As mudanças notáveis incluem:

O sistema de módulos Go é agora totalmente suportado.
O SSL versão 3.0 (SSLv3) não é mais suportado. Entre as melhorias notáveis do Delve debugger estão
O novo examinemem de comando (ou x) para examinar a memória bruta
O novo display de comando para impressão dos valores de uma expressão durante cada parada do programa
A nova bandeira --tty para o fornecimento de um Teletypewriter (TTY) para o programa de depuração
O novo suporte de coredump para Arm64
A nova capacidade de imprimir etiquetas de gorotina
O lançamento do servidor do Debug Adapter Protocol (DAP)
A saída melhorada dos comandos dlv trace and trace REPL (read-eval-print-loop)

Para obter mais informações sobre o Go Toolset, consulte Utilizando o Go Toolset.

Para mais informações sobre a Delve, veja a documentação da Delve a montante.

(BZ#1820596)

SystemTap rebaseado para a versão 4.3

A ferramenta de instrumentação SystemTap foi atualizada para a versão 4.3, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

As sondas de espaço do usuário podem ser direcionadas pelo buildid hexadecimal a partir do readelf -n. Esta alternativa a um nome de caminho permite que os binários correspondentes sejam sondados sob qualquer nome, e assim permite que um único script seja direcionado a uma gama de versões diferentes. Esta característica funciona bem em conjunto com o servidor elfutils debuginfod.
As funções de script podem usar variáveis de texto de sonda $ para acessar variáveis no local sondado, o que permite que os scripts SystemTap utilizem lógica comum para trabalhar com uma variedade de sondas.
As melhorias do programa stapbpf, incluindo declarações de tentativa de captura e sondas de erro, foram feitas para permitir uma tolerância de erro adequada nos scripts executados no backend do BPF.

Para maiores informações sobre mudanças notáveis, leia as notas de lançamento a montante antes de atualizar.

(BZ#1804319)

Valgrind rebaseado para a versão 3.16.0

A ferramenta de análise de código executável Valgrind foi atualizada para a versão 3.16.0, que fornece uma série de correções e melhorias de bugs em relação à versão anterior:

Agora é possível mudar dinamicamente o valor de muitas opções de linha de comando enquanto seu programa está sendo executado sob a Valgrind: através do vgdb, através de um gdb conectado ao Valgrind gdbserver, ou através de solicitações de clientes do programa. Para obter uma lista de opções dinamicamente modificáveis, execute o comando valgrind --help-dyn-options.
Para as ferramentas Cachegrind(cg_annotate) e Callgrind(callgrind_annotate), as opções --auto e --show-percs agora são padrão para sim.
A ferramenta Memcheck produz menos erros falsos positivos em código otimizado. Em particular, o Memcheck agora lida melhor com o caso quando o compilador transformou um código A
A pilha experimental e a ferramenta Global Array Checking(exp-sgcheck) foi removida. Uma alternativa para detectar a pilha e os overruns da matriz global é usar a ferramenta AddressSanitizer (ASAN) do GCC, que requer que você reconstrua seu código com a opção -fsanitize=address.

(BZ#1804324)

elfutils rebobinado para a versão 0.180

O pacote elfutils foi atualizado para a versão 0.180, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

Melhor suporte para informações de depuração para código construído com o GCC LTO (link time optimization). Os utilitários eu-readelf e libdw agora podem ler e manipular seções .gnu.debuglto_, e resolver corretamente nomes de arquivos para funções que são definidas em CUs (compilar unidades).
A utilidade eu-nm agora identifica explicitamente os objetos fracos como V e os símbolos comuns como C.
O servidor de debuginfod agora pode indexar arquivos .deb e tem uma extensão genérica para adicionar outros formatos de arquivo de pacotes usando a opção -Z EXT[=CMD]. Por exemplo -Z '.tar.zst=zstdcat' indica que arquivos terminados com a extensão .tar.zst devem ser desempacotados usando o utilitário zstdcat.
A ferramenta debuginfo-cliente tem várias novas funções de ajuda, tais como debuginfod_set_user_data, debuginfod_get_user_data, debuginfod_get_url e debuginfod_add_http_header. Ele também suporta arquivos:// URLs agora.

(BZ#1804321)

GDB agora suporta registro e replay de processos na IBM z15

Com este aperfeiçoamento, o GNU Debugger (GDB) agora suporta registro e replay de processos com a maioria das novas instruções do processador IBM z15 (anteriormente conhecido como arch13). Observe que as seguintes instruções não são atualmente suportadas: SORTL (listas de classificação), DFLTCC (chamada de conversão deflacionada), KDSA (autenticação de assinatura digital computada).

(BZ#1659535)

Os eventos de monitoramento de desempenho Marvell ThunderX2 foram atualizados em papi

Com este aprimoramento, vários eventos de desempenho específicos do ThunderX2, incluindo eventos sem núcleo, foram atualizados. Como resultado, os desenvolvedores podem investigar melhor o desempenho do sistema nos sistemas Marvell ThunderX2.

(BZ#1726070)

A biblioteca de matemática glibc está agora otimizada para IBM Z

Com este aperfeiçoamento, as funções de matemática libm foram otimizadas para melhorar o desempenho das máquinas IBM Z. As mudanças notáveis incluem:

manuseio melhorado do modo de arredondamento para evitar conjuntos de registros e extratos supérfluos de controle de ponto flutuante
exploração da conversão entre o z196 inteiro e a bóia

(BZ#1780204)

Um diretório temporário adicional específico da libffi está disponível agora

Anteriormente em sistemas endurecidos, os diretórios temporários de todo o sistema podem não ter tido permissões adequadas para uso com a biblioteca libffi.

Com este aperfeiçoamento, os administradores do sistema podem agora definir a variável de ambiente LIBFFI_TMPDIR para apontar para um diretório temporário específico da libffi com permissões de montagem de escrita e execução ou selinux.

(BZ#1723951)

Melhor desempenho de strstr() e strcasestr()

Com esta atualização, o desempenho das funções strstr( ) e strcasestr() foi melhorado em várias arquiteturas suportadas. Como resultado, os usuários agora se beneficiam de um desempenho significativamente melhor de todas as aplicações usando rotinas de manipulação de strstr() e memória.

(BZ#1821531)

glibc agora lida corretamente com o carregamento de um arquivo de locale truncado

Se o arquivo de locais do sistema tiver sido previamente truncado, seja devido a uma queda de energia durante a atualização ou uma falha de disco, um processo poderia terminar inesperadamente ao carregar o arquivo. Esta melhoria acrescenta verificações adicionais de consistência ao carregamento do arquivo de locale. Como resultado, os processos agora são capazes de detectar o truncamento do arquivo e cair de volta aos locales instalados não arquivados ou ao locale POSIX padrão.

(BZ#1784525)

A GDB agora suporta debuginfod

Com esta melhoria, o GNU Debugger (GDB) pode agora baixar pacotes de informações de depuração a partir de servidores centralizados sob demanda usando a biblioteca cliente elfutils debuginfod.

(BZ#1838777)

pcp rebaseado para a versão 5.1.1-3

O pacote pcp foi atualizado para a versão 5.1.1-3. Mudanças notáveis incluem:

Unidades de serviço atualizadas e melhor integração e confiabilidade do sistema para todos os serviços de PCP. Melhor rotação de registros de arquivo e compressão mais oportuna. Correções de bugs de descoberta arquivados no protocolo pmproxy.
Melhorias no pcp-atop, pcp-dstat, pmrep, e ferramentas de monitoramento relacionadas, juntamente com relatórios de etiquetas métricas nas ferramentas de pmrep e exportação.
Melhoria da bpftrace, OpenMetrics, MMV, o agente do kernel Linux e outros agentes de coleta. Novos coletores métricos para os servidores Open vSwitch e RabbitMQ.
Novo serviço pmfind systemd de descoberta de anfitriões, que substitui o daemon pmmgr autônomo.

(BZ#1792971)

grafana rebaseada para a versão 6.7.3

O pacote grafana foi atualizado para a versão 6.7.3. Mudanças notáveis incluem:

Suporte genérico de mapeamento de papéis OAuth
Um novo painel de troncos
Exibição de texto com várias linhas no painel da mesa
Uma nova moeda e unidades de energia

(BZ#1807323)

grafana-pcp rebaseado para a versão 2.0.2

O pacote grafana-pcp foi atualizado para a versão 2.0.2. Mudanças notáveis incluem:

Suporta os mapas multidimensionais do eBPF a serem grafados no flamegraph.
Remove um cache de auto-completamento no editor de consultas, para que as métricas de PCP possam aparecer dinamicamente.

(BZ#1807099)

Uma nova imagem do contêiner rhel8/pcp

A imagem do contêiner rhel8/pcp está agora disponível no Red Hat Container Registry. A imagem contém o conjunto de ferramentas Performance Co-Pilot (PCP), que inclui o pacote pcp-zeroconf pré-instalado e o PMDA da OpenMetrics.

(BZ#1497296)

Uma nova imagem do recipiente rhel8/grafana

A imagem do recipiente rhel8/grafana está agora disponível no Red Hat Container Registry. Grafana é um utilitário de código aberto com painel de métricas e editor gráfico para a ferramenta de monitoramento Graphite, Elasticsearch, OpenTSDB, Prometheus, InfluxDB e PCP.

(BZ#1823834)

6.1.13. Gestão da Identidade

O utilitário de backup IdM agora verifica as réplicas de funções necessárias

O utilitário ipa-backup agora verifica se todos os serviços usados no cluster IdM, tais como Autoridade Certificadora (CA), Sistema de Nomes de Domínio (DNS) e Agente de Recuperação de Chaves (KRA) estão instalados na réplica onde você está executando o backup. Se a réplica não tiver todos estes serviços instalados, o utilitário ipa-backup sai com um aviso, pois os backups realizados naquele host não seriam suficientes para uma restauração completa do cluster.

Por exemplo, se sua implantação de IdM usa uma Autoridade Certificadora (CA) integrada, uma execução de backup em uma réplica não-CA não capturará os dados da CA. A Red Hat recomenda verificar se a réplica onde você realiza um ipa-backup tem todos os serviços de IdM utilizados no cluster instalados.

Para mais informações, consulte Preparação para perda de dados com backups IdM.

(BZ#1810154)

Nova ferramenta de notificação de expiração de senha

Notificação de Senha Expirando (EPN), fornecida pelo pacote ipa-client-epn, é uma ferramenta independente que você pode usar para construir uma lista de usuários de Gerenciamento de Identidade (IdM) cujas senhas estão expirando em breve.

Os administradores da IdM podem usar EPN para:

Exibir uma lista de usuários afetados no formato JSON, que é calculada em tempo de execução
Calcule quantos e-mails serão enviados para um determinado dia ou intervalo de datas
Enviar notificações de expiração de senha por e-mail aos usuários

A Red Hat recomenda lançar o EPN uma vez por dia de um cliente IdM ou uma réplica com o timer do sistema ipa-epn.timer incluído.

(BZ#913799)

JSS agora fornece um SSLContext compatível com FIPS

Anteriormente, Tomcat utilizava a diretiva SSLEngine da classe SSLContext da Java Cryptography Architecture (JCA). A implementação padrão do SunJSSE não está em conformidade com o Federal Information Processing Standard (FIPS), portanto o PKI agora fornece uma implementação em conformidade com o FIPS via JSS.

(BZ#1821851)

Verificar a saúde geral de sua infra-estrutura de chave pública está agora disponível

Com esta atualização, a ferramenta Healthcheck de infra-estrutura de chave pública (PKI) informa a saúde do subsistema PKI à ferramenta Healthcheck de Gerenciamento de Identidade (IdM), que foi introduzida no RHEL 8.1. A execução do IdM Healthcheck invoca o PKI Healthcheck, que coleta e devolve o relatório de saúde do subsistema PKI.

A ferramenta pki-healthcheck está disponível em qualquer servidor ou réplica implantada da RHEL IdM. Todas as verificações fornecidas pelo pki-healthcheck também são integradas à ferramenta ipa-healthcheck. ipa-healthcheck pode ser instalado separadamente do fluxo do módulo idm:DL1.

Note que o pki-healthcheck também pode funcionar em uma infra-estrutura autônoma do Sistema de Certificado Red Hat (RHCS).

(BZ#1770322)

Apoio ao PSS da RSA

Com este aprimoramento, PKI agora suporta o algoritmo de assinatura RSA PSS (Probabilistic Signature Scheme).

Para ativar este recurso, defina a seguinte linha no arquivo pkispawn script para um determinado subsistema: pki_use_pss_rsa_signing_algorithm=True

Como resultado, todos os algoritmos de assinatura padrão existentes para este subsistema (especificados em seu arquivo de configuração CS.cfg ) usarão a versão PSS correspondente. Por exemplo, SHA256withRSA torna-se SHA256withRSA/PSS

(BZ#1824948)

O Directory Server exporta a chave privada e o certificado para um espaço de nome privado quando o serviço é iniciado

O servidor de diretório usa bibliotecas OpenLDAP para conexões de saída, tais como acordos de replicação. Como essas bibliotecas não podem acessar diretamente o banco de dados de serviços de segurança de rede (NSS), o Servidor de Diretório extrai a chave privada e os certificados do banco de dados NSS em instâncias com suporte à criptografia TLS para permitir que as bibliotecas OpenLDAP estabeleçam conexões criptografadas. Anteriormente, o Servidor de Diretório extraía a chave privada e os certificados para o diretório definido no parâmetro nsslapd-certdir na entrada cn=config (padrão: /etc/dirsrv/slapd-

(BZ#1638875)

O Servidor de Diretório pode agora passar uma instância para o modo somente leitura se o limite de monitoramento de disco for atingido

Esta atualização adiciona o parâmetro nsslapd-disk-monitoring-read-on-threshold apenas à entrada cn=config. Se você ativar esta configuração, o Servidor de Diretório muda todos os bancos de dados para somente leitura se o monitoramento em disco estiver ativado e o espaço livre em disco for inferior ao valor configurado no nsslapd-disk-monitoring-threshold. Com o nsslapd-disk-monitoring- somente-leitura-leitura-e-limite configurado em on, os bancos de dados não podem ser modificados até que o Servidor de Diretório desligue a instância com sucesso. Isto pode impedir a corrupção dos dados.

(BZ#1728943)

samba rebaseado para a versão 4.12.3

Os pacotes samba foram atualizados para a versão 4.12.3, que fornece uma série de correções e melhorias em relação à versão anterior:

As funções de criptografia incorporadas foram substituídas pelas funções GnuTLS. Isto melhora significativamente o desempenho do bloco de mensagens do servidor versão 3 (SMB3) e a velocidade de cópia.
O suporte mínimo de tempo de execução é agora Python 3.5.
O parâmetro de tamanho do cache de gravação foi removido porque o conceito anterior de cache de gravação poderia reduzir o desempenho em sistemas com limitações de memória.
O suporte para autenticação de conexões usando bilhetes Kerberos com tipos de criptografia DES foi removido.
O módulo vfs_netatalk sistema de arquivo virtual (VFS) foi removido.
O parâmetro dos anúncios ldap ssl é marcado como depreciado e será removido em uma futura versão Samba. Para informações sobre como, alternativamente, codificar o tráfego LDAP e outros detalhes, consulte a solução samba: remoção da opção smb.conf "ldap ssl ads ".
Por padrão, o Samba no RHEL 8.3 não suporta mais o conjunto de cifras RC4 depreciado. Se você executar Samba como membro de domínio em um AD que ainda requer autenticação RC4 para Kerberos, use o comando update-crypto-policies --set DEFAULT:AD-SUPPORT para habilitar o suporte ao tipo de criptografia RC4.

O Samba atualiza automaticamente seus arquivos de banco de dados tdb quando o serviço smbd, nmbd, ou winbind é iniciado. Faça o backup dos arquivos do banco de dados antes de iniciar o Samba. Note que a Red Hat não suporta o downgrade dos arquivos de banco de dados tdb.

Para maiores informações sobre mudanças notáveis, leia as notas de lançamento a montante antes de atualizar.

(BZ#1817557)

cockpit-session-recording rebaseado para a versão 4

O módulo de gravação de sessão do cockpit foi rebaseado para a versão 4. Esta versão prevê as seguintes mudanças notáveis em relação à versão anterior:

Identificação dos pais atualizada no arquivo metainfo.
Manifesto de pacote atualizado.
Rpmmacro fixo para resolver o caminho correto no CentOS7.
Manuseio de dados de diário codificados por byte-array.
Código movido das funções do ciclo de vida de reações depreciadas.

(BZ#1826516)

krb5 rebaseado para a versão 1.18.2

Os pacotes krb5 foram atualizados para a versão upstream 1.18.2. Correções e melhorias notáveis incluem:

Os tipos de criptografia de um e três DES foram removidos.
O rascunho 9 PKINIT foi removido, pois não é necessário para nenhuma das versões suportadas do Active Directory.
Os plug-ins do mecanismo NegoEx agora são suportados.
A canonicalização do nome do hospedeiro fallback é agora suportada(dns_canonicalize_hostname = fallback).

(BZ#1802334)

IdM agora suporta novos módulos de gerenciamento Ansible management

Esta atualização introduz vários módulos ansible-freeipa para automatizar tarefas comuns de Gerenciamento de Identidade (IdM) usando Livros de Jogadas Ansíveis:

O módulo de configuração permite definir parâmetros de configuração global dentro do IdM.
O módulo dnsconfig permite modificar a configuração global do DNS.
O módulo dnsforwardzone permite adicionar e remover encaminhadores DNS da IdM.
O dnsrecord permite o gerenciamento dos registros DNS. Ao contrário do ipa_dnsrecord a montante, ele permite o gerenciamento de vários registros em uma única execução, e suporta mais tipos de registros.
O módulo dnszone permite a configuração de zonas no servidor DNS.
O módulo de serviço permite garantir a presença e ausência de serviços.
O módulo de abóbada permite garantir a presença e ausência de abóbadas e dos membros das abóbadas.

Observe que os módulos ipagroup e ipahostgroup foram ampliados para incluir os gerentes de membros do usuário e do grupo anfitrião, respectivamente. Um gerente de grupo de membros é um usuário ou um grupo que pode adicionar membros a um grupo ou remover membros de um grupo. Para mais informações, consulte as seções Variáveis dos respectivos arquivos /usr/share/doc/doc/ansible-freeipa/README-*.

(JIRA:RHELPLAN-49954)

IdM agora apóia um novo papel do sistema Ansible para gerenciamento de certificados

O Gerenciamento de Identidade (IdM) apóia uma nova função do sistema Ansible para automatizar tarefas de gerenciamento de certificados. O novo papel inclui os seguintes benefícios:

O papel ajuda a automatizar a emissão e renovação de certificados.
O papel pode ser configurado para que a autoridade certificadora ipa emita seus certificados. Desta forma, você pode usar sua infraestrutura IdM existente para gerenciar a cadeia de confiança dos certificados.
A função permite especificar os comandos a serem executados antes e após a emissão de um certificado, por exemplo, a parada e o início dos serviços.

(JIRA:RHELPLAN-50002)

A Gestão da Identidade agora apóia o FIPS

Com este aperfeiçoamento, agora é possível utilizar tipos de criptografia que são aprovados pelo Federal Information Processing Standard (FIPS) com os mecanismos de autenticação no Gerenciamento de Identidade (IdM). Observe que uma confiança cruzada entre o IdM e o Active Directory não é compatível com o FIPS.

Os clientes que requerem FIPS mas não requerem um AD trust podem agora instalar o IdM no modo FIPS.

(JIRA:RHELPLAN-43531)

OpenDNSSEC em idm:DL1 rebaseado para a versão 2.1

O componente OpenDNSSEC do fluxo do módulo idm:DL1 foi atualizado para a série 2.1, que é a versão atual de longo prazo de suporte upstream. O OpenDNSSEC é um projeto de código aberto que impulsiona a adoção de Extensões de Segurança de Sistema de Nomes de Domínio (DNSSEC) para aumentar ainda mais a segurança na Internet. OpenDNSSEC 2.1 fornece uma série de correções e melhorias de bugs em relação à versão anterior. Para mais informações, leia as notas de lançamento a montante: https://www.opendnssec.org/archive/releases/

(JIRA:RHELPLAN-48838)

IdM agora suporta o desvalorizado conjunto de cifras RC4 com uma nova subpolítica criptográfica de todo o sistema

Esta atualização introduz a nova subpolítica criptográfica AD-SUPPORT que permite o conjunto de cifras Rivest Cipher 4 (RC4) em Gerenciamento de Identidade (IdM).

Como administrador no contexto dos trusts cross-forest do IdM-Active Directory (AD), você pode ativar a nova subpolítica AD-SUPPORT quando o AD não estiver configurado para usar o Advanced Encryption Standard (AES). Mais especificamente, a Red Hat recomenda ativar a nova subpolítica se uma das seguintes condições se aplicar:

As contas de usuário ou serviço no AD possuem chaves de criptografia RC4 e não possuem chaves de criptografia AES.
Os links de confiança entre domínios individuais do Active Directory possuem chaves de criptografia RC4 e não possuem chaves de criptografia AES.

Para ativar a subpolítica AD-SUPPORT além da política de criptografia DEFAULT, entre:

 # update-crypto-policies --set DEFAULT:AD-SUPPORT

Alternativamente, para atualizar os trusts entre domínios AD em uma floresta AD para que eles suportem tipos fortes de criptografia AES, veja o seguinte artigo da Microsoft: AD DS: Segurança: Erro de tipo "Unsupported etype" ao acessar um recurso em um domínio confiável.

(BZ#1851139)

Ajuste aos novos requisitos de encadernação de canais LDAP da Microsoft e assinatura de LDAP

Com atualizações recentes da Microsoft, o Active Directory (AD) sinaliza os clientes que não utilizam as configurações padrão do Windows para encadernação de canais LDAP e assinatura LDAP. Como conseqüência, os sistemas RHEL que utilizam o Daemon System Security Services (SSSD) para integração direta ou indireta com o AD podem acionar IDs de eventos de erro no AD após operações bem sucedidas de Autenticação Simples e Camada de Segurança (SASL) que utilizam a Interface do Programa de Aplicação de Serviços Genéricos de Segurança (GSSAPI).

Para evitar estas notificações, configure as aplicações do cliente para usar o mecanismo SASL do Mecanismo de Negociação Simples e Protegido GSSAPI (GSS-SPNEGO) em vez do GSSAPI. Para configurar o SSSD, defina a opção ldap_sasl_mech para GSS-SPNEGO.

Além disso, se a encadernação de canais for aplicada no lado AD, configure quaisquer sistemas que utilizem SASL com SSL/TLS da seguinte maneira:

Instale as últimas versões dos pacotes cyrus-sasl, openldap e krb5-libs que são enviados com o RHEL 8.3 e posteriores.
No arquivo /etc/openldap/ldap.conf, especifique o tipo correto de encadernação do canal definindo a opção SASL_CBINDING para tls-endpoint.

Para mais informações, consulte Impacto da Consultoria de Segurança da Microsoft ADV190023 | LDAP Channel Binding e LDAP Signing on RHEL and AD integration.

(BZ#1873567)

SSSD, adcli e realmd agora suportam o desvalorizado conjunto de cifras RC4 com uma nova subpolítica criptográfica de todo o sistema

Esta atualização introduz a nova subpolítica criptográfica AD-SUPPORT que permite o conjunto de cifras Rivest Cipher 4 (RC4) para as seguintes utilidades:

o Serviço de Segurança do Sistema Daemon (SSSD)
adcli
reinod

Como administrador, você pode ativar a nova subpolítica AD-SUPPORT quando o Active Directory (AD) não estiver configurado para usar o Advanced Encryption Standard (AES) nos seguintes cenários:

O SSSD é usado em um sistema RHEL conectado diretamente ao AD.
adcli é usado para entrar em um domínio AD ou para atualizar atributos do host, por exemplo, a chave do host.
realmd é usado para ingressar em um domínio AD.

A Red Hat recomenda a habilitação da nova subpolítica se uma das seguintes condições se aplicar:

As contas de usuário ou serviço no AD possuem chaves de criptografia RC4 e não possuem chaves de criptografia AES.
Os links de confiança entre domínios individuais do Active Directory possuem chaves de criptografia RC4 e não possuem chaves de criptografia AES.

Para ativar a subpolítica AD-SUPPORT além da política de criptografia DEFAULT, entre:

 # update-crypto-policies --set DEFAULT:AD-SUPPORT

(BZ#1866695)

authselect tem um novo perfil mínimo

O utilitário authselect tem um novo perfil mínimo. Você pode usar este perfil para atender apenas usuários e grupos locais diretamente dos arquivos do sistema, em vez de usar outros provedores de autenticação. Portanto, você pode remover com segurança os pacotes SSSD, winbind e fprintd e pode usar este perfil em sistemas que requerem instalação mínima para economizar espaço em disco e memória.

(BZ#1654018)

O SSSD agora atualiza o arquivo Samba's secrets.tdb ao girar uma senha

Uma nova opção ad_update_samba_machine_account_password no arquivo sssd.conf está agora disponível em RHEL. Você pode usá-lo para configurar o SSSD para atualizar automaticamente o arquivo Samba secrets.tdb ao girar a senha de domínio de uma máquina enquanto usa o Samba.

Entretanto, se o SELinux estiver em modo de aplicação, o SSSD não atualiza o arquivo secrets.tdb. Consequentemente, o Samba não tem acesso à nova senha. Para contornar este problema, configure o SELinux para o modo permissivo.

(BZ#1793727)

O SSSD agora impõe por padrão os GPO AD

A configuração padrão para a opção SSSD ad_gpo_access_control está agora fazendo cumprir. No RHEL 8, o SSSD aplica por padrão as regras de controle de acesso baseadas nos Objetos de Políticas de Grupos de Diretórios Ativos (GPOs).

A Red Hat recomenda garantir que os GPOs sejam configurados corretamente no Active Directory antes de atualizar de RHEL 7 para RHEL 8. Se você não quiser reforçar os GPOs, altere o valor da opção ad_gpo_access_control no arquivo /etc/sssd/sssd.conf para permissivo.

(JIRA:RHELPLAN-51289)

O Servidor de Diretório agora suporta o atributo de operação pwdReset

Esta melhoria adiciona suporte ao atributo de operação pwdReset ao Directory Server. Quando um administrador muda a senha de um usuário, o Servidor de Diretório define o pwdReset na entrada do usuário como verdadeiro. Como resultado, os aplicativos podem usar este atributo para identificar se a senha de um usuário foi redefinida por um administrador.

Note que pwdReset é um atributo operacional e, portanto, os usuários não podem editá-lo.

(BZ#1775285)

O servidor de diretório agora registra o trabalho e o tempo de operação em entradas de RESULTADO

Com esta atualização, o Directory Server agora registra dois valores de tempo adicionais em RESULTADOS `/var/log/dirsrv/slapd-

O valor do tempo de trabalho indica quanto tempo levou para que uma operação passasse da fila de trabalho para uma linha de operários.
O valor do tempo de operação mostra o tempo que a operação real levou para ser concluída uma vez que um fio operário iniciou a operação.

Os novos valores fornecem informações adicionais sobre como o Servidor de Diretório trata as operações de carga e processamento.

Para mais detalhes, veja a seção Referência do Log de Acesso na Configuração, Comando e Referência do Servidor de Diretório da Red Hat.

(BZ#1850275)

6.1.14. Desktop

Sessão de aplicação única agora está disponível

Agora você pode iniciar o GNOME em uma sessão de uma única aplicação, também conhecida como modo quiosque. Nesta sessão, o GNOME exibe apenas uma janela de tela cheia de uma aplicação que você configurou.

Para habilitar a sessão de aplicação única:

Instalar o pacote gnome-session-kiosk-session:
```
# yum instalar gnome-session-kiosk-session
```
Criar e editar o arquivo $HOME/.local/bin/redhat-kiosk do usuário que abrirá a sessão de aplicação única.
No arquivo, digite o nome executável do aplicativo que você deseja lançar.
Por exemplo, para lançar o aplicativo Text Editor:
```
#!/bin/sh

gedit &
```
Tornar o arquivo executável:
```
$ chmod x $HOME/.local/bin/redhat-kiosk
```
Na tela de login do GNOME, selecione a sessão Kiosk no menu de botões da roda dentada e faça o login como usuário de uma única aplicação.

(BZ#1739556)

tigervnc foi rebaseado para a versão 1.10.1

O conjunto tigervnc foi rebaseado para a versão 1.10.1. A atualização contém número de correções e melhorias. Mais notadamente:

o tigervnc agora suporta apenas o início do servidor de computação de rede virtual (VNC) usando o gerenciador de serviços systemd.
O clipboard agora suporta Unicode completo no visualizador nativo, WinVNC e Xvnc/libvnc.so.
O cliente nativo agora vai respeitar a loja de confiança do sistema ao verificar os certificados do servidor.
O servidor web Java foi removido.
x0vncserver agora pode ser configurado para permitir apenas conexões locais.
x0vncserver recebeu correções para quando apenas parte do display é compartilhada.
A votação agora é padrão no WinVNC.
A compatibilidade com o servidor VNC da VMware foi melhorada.
A compatibilidade com alguns métodos de entrada no MacOS foi melhorada.
O "reparo" automático de artefatos JPEG foi melhorado.

(BZ#1806992)

6.1.15. Infra-estruturas gráficas

Suporte para novas placas gráficas

As seguintes placas gráficas são agora totalmente suportadas:

A família AMD Navi 14, que inclui os seguintes modelos:
- Radeon RX 5300
- Radeon RX 5300 XT
- Radeon RX 5500
- Radeon RX 5500 XT
A família AMD Renoir APU, que inclui os seguintes modelos:
- Ryzen 3 4300U
- Ryzen 5 4500U, 4600U, e 4600H
- Ryzen 7 4700U, 4800U, e 4800H
A família AMD Dali APU, que inclui os seguintes modelos:
- Prata Athlon 3050U
- Athlon Gold 3150U
- Ryzen 3 3250U

Além disso, os seguintes drivers gráficos foram atualizados:

O motorista Matrox mgag200

(JIRA:RHELPLAN-55009)

Aceleração de ferragens com Nvidia Volta e Turing

O novo driver gráfico agora suporta aceleração de hardware com as famílias Nvidia Volta e Turing GPU. Como resultado, o desktop e os aplicativos que usam gráficos 3D agora renderizam eficientemente na GPU. Além disso, isto libera a CPU para outras tarefas e melhora a capacidade de resposta do sistema como um todo.

(JIRA:RHELPLAN-57564)

Redução do rasgo da tela no XWayland

O display XWayland back end agora permite a extensão XPresent. Usando o XPresent, as aplicações podem atualizar eficientemente o conteúdo de suas janelas, o que reduz o rasgo da tela.

Este recurso melhora significativamente a renderização da interface do usuário de aplicações OpenGL em tela cheia, tais como editores 3D.

(JIRA:RHELPLAN-57567)

6.1.16. O console web

Definir privilégios de dentro da sessão do console web

Com esta atualização, o console web oferece uma opção para alternar entre acesso administrativo e acesso limitado de dentro de uma sessão do usuário. Você pode alternar entre os modos clicando no indicador Administrative access ou Limited access em sua sessão do console web.

(JIRA:RHELPLAN-42395)

Melhorias na busca de logs

Com esta atualização, o console web introduz uma caixa de busca que suporta várias novas maneiras de como os usuários podem pesquisar entre os logs. A caixa de busca suporta a busca de expressões regulares em mensagens de log, especificando serviço ou busca de entradas com campos de log específicos.

(BZ#1710731)

A página de visão geral mostra relatórios mais detalhados Insights

Com esta atualização, quando uma máquina é conectada ao Red Hat Insights, o cartão Health na página Overview no console web mostra informações mais detalhadas sobre o número de acessos e sua prioridade.

(JIRA:RHELPLAN-42396)

6.1.17. Funções do Sistema Red Hat Enterprise Linux

Terminal log função adicionada aos papéis do sistema RHEL

Com esta melhoria, uma nova função Terminal log (TLOG) foi adicionada às funções do sistema RHEL enviada com o pacote rhel-system-roles. Os usuários podem agora usar a função tlog para configurar e configurar a gravação da sessão usando o Ansible.

Atualmente, o papel do tlog apóia as seguintes tarefas:

Configurar o tlog para registrar os dados de registro no diário do sistema
Habilitar a gravação de sessões para usuários e grupos explícitos, via SSSD

(BZ#1822158)

A função do Sistema de Registro RHEL está agora disponível para Ansible

Com o papel do sistema de registro, você pode implantar várias configurações de registro de forma consistente em hosts locais e remotos. Você pode configurar um host RHEL como um servidor para coletar logs de muitos sistemas clientes.

(BZ#1677739)

rhel-system-roles-sap totalmente apoiado

O pacote rhel-system-roles-sap, anteriormente disponível como um Technology Preview, agora é totalmente suportado. Ele fornece as funções do sistema Red Hat Enterprise Linux (RHEL) para SAP, que pode ser usado para automatizar a configuração de um sistema RHEL para executar cargas de trabalho SAP. Estas funções reduzem muito o tempo de configuração de um sistema para executar cargas de trabalho SAP, aplicando automaticamente as configurações ideais que são baseadas nas melhores práticas descritas nas Notas SAP relevantes. O acesso é limitado às ofertas da RHEL para soluções SAP. Favor entrar em contato com o Suporte ao Cliente da Red Hat se você precisar de assistência com sua assinatura.

Os seguintes novos papéis no pacote rhel-system-roles-sap são totalmente suportados:

sap-preconfigure
sap-netweaver-preconfigure
sap-hana-preconfigure

Para mais informações, veja as funções do sistema Red Hat Enterprise Linux para SAP.

(BZ#1660832)

A métrica RHEL System Role está agora disponível para Ansible.

Com a métrica RHEL System Role, você pode configurar, para hosts locais e remotos:

serviços de análise de desempenho através da aplicação pcp
visualização destes dados usando um servidor grafana
consulta destes dados usando a fonte de dados redis sem ter que configurar manualmente estes serviços separadamente.

(BZ#1890499)

rhel-system-roles-sap atualizado

O rhel-system-roles-sap os pacotes foram atualizados para a versão upstream 2.0.0, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

Melhorar a configuração e verificação dos nomes das mangueiras
Melhorar a detecção e manuseio do status do uuidd
Adicionar suporte para a opção --check (-c)
Aumentar os limites de nofile de 32800 para 65536
Adicione o arquivo nfs-utils a sap_preconfigure_packages*
Desativar firewalld. Com esta mudança, desativamos o firewalld somente quando ele é instalado.
Adicionar versões mínimas exigidas do pacote de configuração para RHEL 8.0 e RHEL 8.1.
Melhorar o manuseio dos arquivos tmpfiles.d/sap.conf
Apoiar a execução em uma única etapa ou verificação das notas SAP
Adicionar os pacotes de compatriotas necessários
Melhorar o manuseio da instalação mínima da embalagem
Detectar se uma reinicialização é necessária após a aplicação das funções do Sistema RHEL
Suporte de definição de qualquer estado SElinux. O estado padrão é "deficiente"
Não falhar mais se houver mais de uma linha com endereços IP idênticos
Não modificar mais /etc/hosts se houver mais de uma linha contendo sap_ip
Apoio para HANA no RHEL 7.7
Suporte para adicionar um repositório para as ferramentas de serviço e produtividade IBM para Power, necessário para SAP HANA na plataforma ppc64le

(BZ#1844190)

6.1.18. Virtualização

A migração de uma máquina virtual para um host com configuração de TSC incompatível agora falha mais rapidamente

Anteriormente, a migração de uma máquina virtual para um host com configuração incompatível do contador de carimbos de tempo (TSC) falhou no final do processo. Com esta atualização, a tentativa de tal migração gera um erro antes do início do processo de migração.

(JIRA:RHELPLAN-45950)

Suporte de virtualização para processadores AMD EPYC de segunda geração

Com esta atualização, a virtualização no RHEL 8 adiciona suporte aos processadores AMD EPYC de segunda geração, também conhecidos como EPYC Rome. Como resultado, as máquinas virtuais hospedadas no RHEL 8 podem agora usar o modelo de CPU EPYC-Roma e utilizar os novos recursos que os processadores oferecem.

(JIRA:RHELPLAN-45959)

Novo comando: virsh iothreadset

Esta atualização introduz o comando virsh iothreadset, que pode ser usado para configurar a sondagem dinâmica IOThread. Isto torna possível a configuração de máquinas virtuais com latências mais baixas para cargas de trabalho IO-intensivas à custa de um maior consumo de CPU para o IOThread. Para opções específicas, consulte a página virsh man.

(JIRA:RHELPLAN-45958)

A UMIP é agora suportada pela KVM na 10ª geração de processadores Intel Core

Com esta atualização, o recurso User-mode Instruction Prevention (UMIP) é agora suportado pela KVM para hosts executados em processadores Intel Core da 10ª geração, também conhecidos como Ice Lake Servers. O recurso UMIP emite uma exceção geral de proteção se certas instruções, tais como sgdt, sidt, sldt, smsw e str, forem executadas quando o Nível de Privilégios Atual (CPL) for maior que 0. Como resultado, o UMIP garante a segurança do sistema, impedindo que aplicações não autorizadas acessem certas configurações em todo o sistema que podem ser usadas para iniciar ataques de escalada de privilégios.

(JIRA:RHELPLAN-45957)

A biblioteca libvirt agora suporta alocação de largura de banda de memória

libvirt agora suporta a alocação de largura de banda de memória (MBA). Com o MBA, você pode alocar partes da largura de banda de memória do host em threads vCPU usando o elemento <memorytune> na seção <cputune>.

MBA é uma extensão do Cache QoS Enforcement (CQE) existente encontrado nos processadores Intel Xeon v4, também conhecido como servidor Broadwell. Para tarefas que estão associadas à afinidade com a CPU, o mecanismo usado pelo MBA é o mesmo que no CQE.

(JIRA:RHELPLAN-45956)

As máquinas virtuais RHEL 6 agora suportam o tipo de máquina Q35

Máquinas virtuais (VMs) hospedadas no RHEL 8 que usam o RHEL 6 como seu sistema operacional convidado podem agora usar o Q35, um tipo de máquina mais moderno baseado no PCI Express. Isto fornece uma variedade de melhorias nas características e desempenho dos dispositivos virtuais, e garante que uma gama mais ampla de dispositivos modernos seja compatível com as máquinas virtuais RHEL 6.

(JIRA:RHELPLAN-45952)

Todos os eventos de QEMU registrados agora têm um carimbo de tempo. Como resultado, os usuários podem mais facilmente solucionar problemas em suas máquinas virtuais usando os logs salvos no diretório /var/log/libvirt/qemu/qemu/.

Os registros da QEMU agora incluem carimbos de tempo para eventos do servidor de temperos

Esta atualização adiciona carimbos de tempo aos registros de eventos do servidor do Spice-server. Portanto, todos os eventos de QEMU registrados agora têm um carimbo de tempo. Como resultado, os usuários podem mais facilmente solucionar problemas em suas máquinas virtuais usando os logs salvos no diretório /var/log/libvirt/qemu/.

(JIRA:RHELPLAN-45945)

O dispositivo bochs-display é agora suportado

RHEL 8.3 e posteriormente introduz o dispositivo de exibição Bochs, que é mais seguro do que o dispositivo stdvga atualmente utilizado. Note que todas as máquinas virtuais (VMs) compatíveis com o bochs-display o utilizarão por padrão. Isto inclui principalmente as VMs que utilizam a interface UEFI.

(JIRA:RHELPLAN-45939)

Proteção MDS otimizada para máquinas virtuais

Com esta atualização, um host RHEL 8 pode informar suas máquinas virtuais (VMs) se elas são vulneráveis à Amostragem de Dados Microarquitetônicos (MDS). VMs que não são vulneráveis não usam medidas contra MDS, o que melhora seu desempenho.

(JIRA:RHELPLAN-45937)

Criação de imagens de disco QCOW2 no RBD agora suportada

Com esta atualização, é possível criar imagens de disco QCOW2 no armazenamento do RADOS Block Device (RBD). Como resultado, as máquinas virtuais podem utilizar servidores RBD para seus back ends de armazenamento com imagens QCOW2.

Observe, entretanto, que o desempenho de gravação das imagens de disco QCOW2 no armazenamento RBD é atualmente menor do que o pretendido.

(JIRA:RHELPLAN-45936)

O máximo de dispositivos VFIO suportados aumentou para 64

Com esta atualização, você pode anexar até 64 dispositivos PCI que utilizam VFIO a uma única máquina virtual em um host RHEL 8. Esta é a partir de 32 no RHEL 8.2 e anteriores.

(JIRA:RHELPLAN-45930)

os comandos dedescarte e escrever-zeroes são agora suportados em QEMU/KVM

Com esta atualização, os comandos de descarte e escrever-zeroes para virtio-blk são agora suportados em QEMU/KVM. Como resultado, as máquinas virtuais podem usar o dispositivo virtio-blk para descartar setores não utilizados de um SSD, encher setores com zeros quando eles são esvaziados, ou ambos. Isto pode ser usado para aumentar o desempenho do SSD ou para garantir que um drive seja apagado com segurança.

(JIRA:RHELPLAN-45926)

RHEL 8 agora suporta IBM POWER 9 XIVE

Esta atualização introduz o suporte ao recurso de Mecanismo de Virtualização de Interrupção Externa (XIVE) do IBM POWER9 ao RHEL 8. Como resultado, máquinas virtuais (VMs) rodando em um hipervisor RHEL 8 em um sistema IBM POWER 9 podem usar o XIVE, o que melhora o desempenho de VMs I/O-intensivas.

(JIRA:RHELPLAN-45922)

Suporte do Control Group v2 para máquinas virtuais

Com esta atualização, o conjunto libvirt suporta os grupos de controle v2. Como resultado, as máquinas virtuais hospedadas no RHEL 8 podem tirar proveito das capacidades de controle de recursos do grupo de controle v2.

(JIRA:RHELPLAN-45920)

Os IPIs paravirtualizados são agora suportados para máquinas virtuais Windows

Com esta atualização, a bandeira hv_ipi foi adicionada às iluminações de hipervisor suportadas para máquinas virtuais Windows (VMs). Isto permite que interrupções inter-processador (IPIs) sejam enviadas através de um hipercall. Como resultado, os IPIs podem ser executados mais rapidamente em VMs rodando um sistema operacional Windows.

(JIRA:RHELPLAN-45918)

Migração de máquinas virtuais com cache de disco habilitado agora é possível

Esta atualização torna o hipervisor RHEL 8 KVM compatível com a migração ao vivo do cache de disco. Como resultado, agora é possível migrar máquinas virtuais ao vivo com cache em disco habilitado.

(JIRA:RHELPLAN-45916)

as interfaces macvtap podem agora ser utilizadas por máquinas virtuais em sessões não-privilegiadas

Agora é possível que as máquinas virtuais (VMs) utilizem uma interface macvtap previamente criada por um processo privilegiado. Notavelmente, isto permite que as VMs iniciadas pela sessão de usuários não privilegiados da libvirtd utilizem uma interface macvtap.

Para fazer isso, primeiro crie uma interface macvtap em um ambiente privilegiado e configure-a para ser propriedade do usuário que estará executando libvirtd em uma sessão não-privilegiada. Você pode fazer isso usando um aplicativo de gerenciamento como o console web, ou usando utilitários de linha de comando como root, por exemplo:

# ip link add link en2 name mymacvtap0 address 52:54:00:11:11:11 type macvtap mode bridge
# chown myuser /dev/tap$(cat /sys/class/net/mymacvtap0/ifindex)
# ip link set mymacvtap0 up

Em seguida, modifique o subelemento <target> da configuração <interface> da VM para fazer referência à interface macvtap recém-criada:

  <interface type='ethernet'>
     <model type='virtio'/>
     <mac address='52:54:00:11:11:11'/>
     <target dev='mymacvtap0' managed='no'/>
   </interface>

Com esta configuração, se a libvirtd for executada como o usuário myuser, a VM utilizará a interface macvtap existente quando iniciada.

(JIRA:RHELPLAN-45915)

Máquinas virtuais podem agora usar recursos da 10ª geração de processadores Intel Core

Os nomes dos modelos de CPU Icelake-Server e Icelake-Client estão agora disponíveis para máquinas virtuais (VMs). Em hosts com processadores Intel Core de 10ª geração, utilizando Icelake-Server ou Icelake-Client como o tipo de CPU na configuração XML de uma VM faz com que as novas características destas CPUs sejam expostas à VM.

(JIRA:RHELPLAN-45911)

QEMU agora suporta a criptografia LUKS

Com esta atualização, é possível criar discos virtuais usando criptografia Linux Unified Key Setup (LUKS). Você pode criptografar os discos ao criar o volume de armazenamento, incluindo o campo <encryption> na configuração XML da máquina virtual (VM). Você também pode tornar o disco virtual encriptado LUKS completamente transparente para a VM, incluindo o campo <encryption> na definição de domínio do disco no arquivo de configuração XML.

(JIRA:RHELPLAN-45910)

Logs melhorados para o nbdkit

O registro de serviços nbdkit foi modificado para ser menos verboso. Como resultado, os logs do nbdkit são apenas mensagens potencialmente importantes, e os logs criados durante as conversões virt-v2v são mais curtos e fáceis de analisar.

(JIRA:RHELPLAN-45909)

Maior consistência para as máquinas virtuais SELinux etiquetas e permissões de segurança

Com esta atualização, o serviço libvirt pode gravar as etiquetas de segurança e permissões SELinux associadas aos arquivos, e restaurar as etiquetas após a modificação dos arquivos. Como resultado, por exemplo, utilizando utilitários libguestfs para modificar uma imagem de disco de uma máquina virtual (VM) de propriedade de um usuário específico, não muda mais o proprietário da imagem para root.

Note que este recurso não funciona em sistemas de arquivos que não suportam atributos de arquivos estendidos, tais como NFS.

(JIRA:RHELPLAN-45908)

QEMU agora usa a biblioteca de criptografia para cifras XTS

Com esta atualização, o emulador QEMU foi alterado para usar a implementação do modo cifra XTS fornecido pela biblioteca gcrypt. Isto melhora o desempenho de E/S de máquinas virtuais cujo armazenamento no host utiliza o driver de criptografia nativo da QEMU.

(JIRA:RHELPLAN-45904)

Os drivers de Windows Virtio agora podem ser atualizados usando Windows Updates

Com esta atualização, uma nova cadeia padrão SMBIOS é iniciada por padrão quando a QEMU inicia. Os parâmetros fornecidos nos campos SMBIOS tornam possível gerar IDs para o hardware virtual rodando na máquina virtual (VM). Como resultado, Windows Update pode identificar o hardware virtual e o tipo de máquina hypervisor RHEL, e atualizar os drivers Virtio nas VMs rodando Windows 10 , Windows Server 2016, e Windows Server 2019 .

(JIRA:RHELPLAN-45901)

Novo comando: virsh guestinfo

O comando virsh guestinfo foi introduzido no RHEL 8.3. Isto torna possível relatar os seguintes tipos de informações sobre uma máquina virtual (VM):

Informações do sistema de arquivos e do sistema de arquivos para convidados
Usuários ativos
O fuso horário utilizado

Antes de executar o virsh guestinfo, assegure-se de que o pacote qemu-guest-agent esteja instalado. Além disso, o canal guest_agent deve ser habilitado na configuração XML da VM, por exemplo, como a seguir:

<channel type='unix'>
   <target type='virtio' name='org.qemu.guest_agent.0'/>
</channel>

(JIRA:RHELPLAN-45900)

As entradas VNNI para BFLOAT16 são agora suportadas pela KVM

Com esta atualização, as Vector Neural Network Instructions (VNNI) suportam as entradas BFLOAT16, também conhecidas como instruções AVX512_BF16, agora são suportadas pela KVM para os processadores escaláveis Intel Xeon de terceira geração, também conhecidos como Cooper Lake. Como resultado, o software convidado pode agora usar as instruções do AVX512_BF16 dentro de máquinas virtuais, habilitando-o na configuração da CPU virtual.

(JIRA:RHELPLAN-45899)

Novo comando: virsh-capacidades do pool

RHEL 8.3 introduz a opção de comando de capacidade de piscina virsh. Este comando exibe informações que podem ser usadas para criar pools de armazenamento, bem como volumes de armazenamento dentro de cada pool, em seu host. Isto inclui:

Tipos de piscina de armazenagem
Formatos de fonte do pool de armazenamento
Tipos de formatos de volume de armazenamento de destino

(JIRA:RHELPLAN-45884)

Suporte para CPUID.1F em máquinas virtuais com processadores Intel Xeon Platinum série 9200

Com esta atualização, as máquinas virtuais hospedadas no RHEL 8 podem ser configuradas com uma topologia de CPU virtual de múltiplas matrizes, usando a função Folha de Enumeração Topológica Estendida (CPUID.1F). Esta característica é suportada pelos processadores Intel Xeon Platinum série 9200, anteriormente conhecidos como Cascade Lake. Como resultado, agora é possível em hosts que usam processadores Intel Xeon Platinum série 9200 para criar uma topologia vCPU que espelha a topologia física da CPU do host.

(JIRA:RHELPLAN-37573, JIRA:RHELPLAN-45934)

Máquinas virtuais podem agora usar recursos de Processadores Escaláveis Intel Xeon de 3ª Geração

O nome do modelo de CPU Cooperlake está agora disponível para máquinas virtuais (VMs). Usando Cooperlake como o tipo de CPU na configuração XML de uma VM faz novas características dos Processadores Escaláveis Intel Xeon de 3ª Geração expostos à VM, se o host usar esta CPU.

(JIRA:RHELPLAN-37570)

Memória persistente Intel Optane agora suportada pela KVM

Com esta atualização, as máquinas virtuais hospedadas no RHEL 8 podem se beneficiar da tecnologia de memória persistente Intel Optane, anteriormente conhecida como Intel Crystal Ridge. Os dispositivos de armazenamento de memória persistente Intel Optane fornecem tecnologia de memória persistente de classe data center, que pode aumentar significativamente o rendimento das transações.

(JIRA:RHELPLAN-14068)

Máquinas virtuais podem agora usar o processador Intel Processor Trace

Com esta atualização, as máquinas virtuais (VMs) hospedadas no RHEL 8 são capazes de usar o recurso Intel Processor Trace (PT). Quando seu host usa uma CPU que suporta Intel PT, você pode usar um software Intel especializado para coletar uma variedade de métricas sobre o desempenho da CPU de sua VM. Note que isto também requer a habilitação do recurso intel-pt na configuração XML da VM.

(JIRA:RHELPLAN-7788)

Os dispositivos DASD podem agora ser atribuídos a máquinas virtuais no IBM Z

Os dispositivos de armazenamento de acesso direto (DASDs) fornecem uma série de características específicas de armazenamento. Usando o recurso vfio-ccw, você pode atribuir DASDs como dispositivos mediados para suas máquinas virtuais (VMs) em hosts IBM Z. Isto, por exemplo, torna possível para a VM acessar um conjunto de dados z/OS, ou compartilhar os DASDs atribuídos com uma máquina z/OS.

(JIRA:RHELPLAN-40234)

IBM Secure Execution apoiado para IBM Z

Ao utilizar o hardware IBM Z para executar seu host RHEL 8, você pode melhorar a segurança de suas máquinas virtuais (VMs) configurando o IBM Secure Execution para as VMs. O IBM Secure Execution, também conhecido como Virtualização Protegida, impede que o sistema host acesse o estado e o conteúdo da memória de uma VM.

Como resultado, mesmo que o hospedeiro esteja comprometido, ele não pode ser usado como um vetor para atacar o sistema operacional convidado. Além disso, o Secure Execution pode ser usado para evitar que hospedeiros não confiáveis obtenham informações sensíveis do VM.

(JIRA:RHELPLAN-14754)

6.1.19. RHEL em ambientes de nuvens

parte de crescimento de nuvens-utils rebaixadas para 0,31

O pacote de partes de crescimento de nuvens foi atualizado para a versão 0.31, que fornece múltiplas correções e melhorias de bugs. Mudanças notáveis incluem:

Um bug que impediu que os discos GPT crescessem além dos 2TB foi corrigido.
A operação de growpart não falha mais quando o setor de partida e o tamanho são os mesmos.
O redimensionamento de uma partição usando a utilidade sgdisk anteriormente, em alguns casos, falhou. Este problema agora foi resolvido.

(BZ#1846246)

6.1.20. Contêineres

imagem do recipienteskopeo já está disponível

A imagem do contêiner registry.redhat.io/rhel8/skopeo é uma implementação contentorizada do pacote skopeo. A ferramenta skopeo é um utilitário de linha de comando que realiza várias operações em imagens de contêineres e repositórios de imagens. Esta imagem de contêiner permite inspecionar imagens de contêineres em um registro, remover uma imagem de contêiner de um registro e copiar imagens de contêineres de um registro de contêineres não autenticado para outro. Para puxar a imagem do contêiner Registry.redhat.io/rhel8/skopeo, você precisa de uma assinatura ativa do Red Hat Enterprise Linux.

(BZ#1627900)

imagem do containerbuildah já está disponível

A imagem do container register.redhat.io/rhel8/buildah é uma implementação em container do pacote buildah. A ferramenta buildah facilita a construção de imagens de contêineres OCI. Esta imagem de container permite a construção de imagens de container sem a necessidade de instalar o pacote buildah em seu sistema. O caso de uso não cobre a execução desta imagem no modo rootless como um usuário não-root. Para obter a imagem do contêiner register.redhat.io/rhel8/buildah, você precisa de uma assinatura ativa do Red Hat Enterprise Linux.

(BZ#1627898)

Podman v2.0 RESTful API agora está disponível

A nova API Podman 2.0 baseada em REST substitui a antiga API remota baseada na biblioteca varlink. A nova API funciona tanto em um ambiente sem raízes quanto em um ambiente sem raízes e fornece uma camada de compatibilidade de docas.

(JIRA:RHELPLAN-37517)

A instalação de Podman não requer contentor-selinux

Com este aperfeiçoamento, a instalação do pacote contentor-selinux é agora opcional durante a construção do contentor. Como resultado, Podman tem menos dependências em relação a outros pacotes.

(BZ#1806044)

6.1.21. Novos motoristas

Drivers de rede

Driver CAN para dispositivos Kvaser CAN/USB (kvaser_usb.ko.xz)
Driver para dispositivos Theobroma Systems UCAN (ucan.ko.xz)
Driver NIC Pensando Ethernet (ionic.ko.xz)

Drivers gráficos e drivers diversos

Estrutura genérica de processador remoto (remoteproc.ko.xz)
Injeção em estado ocioso de nível C para CPUs Intel (intel_powerclamp.ko.xz)
X86 PKG TEMP Thermal Driver (x86_pkg_temp_thermal.ko.xz)
INT3402 Condutor térmico (int3402_thermal.ko.xz)
ACPI INT3403 condutor térmico (int3403_thermal.ko.xz)
Intel® acpi thermal rel misc dev driver (acpi_thermal_rel.ko.xz)
INT3400 Condutor térmico (int3400_thermal.ko.xz)
Intel® INT340x manipulador de zona térmica comum (int340x_thermal_zone.ko.xz)
Processador de dispositivos de relatório térmico (processor_thermal_device.ko.xz)
Driver térmico Intel® PCH (intel_pch_thermal.ko.xz)
Ajudantes DRM gem ttm (drm_ttm_helper.ko.xz)
Registro de nodo de dispositivo para controladores cec (cec.ko.xz)
Fairchild FUSB302 Motorista de chip tipo C (fusb302.ko.xz)
VHOST IOTLB (vhost_iotlb.ko.xz)
backend para virtio (vhost_vdpa.ko.xz) baseado em vDPA
Driver de relógio virtual PTP da VMware (ptp_vmw.ko.xz)
Driver Intel LPSS PCI (intel-lpss-pci.ko.xz)
Driver central LPSS Intel (intel-lpss.ko.xz)
Driver Intel® LPSS ACPI (intel-lpss-acpi.ko.xz)
Motorista do cão de guarda Mellanox (mlx_wdt.ko.xz)
Mellanox FAN driver (mlxreg-fan.ko.xz)
Mellanox regmap I/O access driver (mlxreg-io.ko.xz)
Driver de caixa de correio pci de interface de seleção de velocidade Intel® (isst_if_mbox_pci.ko.xz)
Driver de caixa de correio de interface de seleção de velocidade Intel® (isst_if_mbox_msr.ko.xz)
Interface de seleção de velocidade Intel® mmio driver (isst_if_mmio.ko.xz)
Mellanox LED regmap driver (leds-mlxreg.ko.xz)
simulador de Dispositivos vDPA (vdpa_sim.ko.xz)
Driver Intel® Tiger Lake PCH pinctrl/GPIO (pinctrl-tigerlake.ko.xz)
Controlador SPI PXA2xx SSP (spi-pxa2xx-platform.ko.xz)
CE4100/LPSS Código de cola PCI-SPI para o driver PXA (spi-pxa2xx-pci.ko.xz)
Interface Hyper-V PCI (pci-hyperv-intf.ko.xz)
vDPA motorista de ônibus para dispositivos virtio (virtio_vdpa.ko.xz)

6.1.22. Drivers atualizados

Atualizações de driver de rede

O driver virtual NIC VMware vmxnet3 (vmxnet3.ko.xz) foi atualizado para a versão 1.5.0.0.0-k.
O Realtek RTL8152/RTL8153 Adaptadores Ethernet USB (r8152.ko.xz) foi atualizado para a versão 1.09.10.
O driver de rede Broadcom BCM573xx (bnxt_en.ko.xz) foi atualizado para a versão 1.10.1.
O controlador Netronome Flow Processor (NFP) (nfp.ko.xz) foi atualizado para a versão 4.18.0-240.el8.x86_64.
O driver de interface de host do switch Ethernet Intel® (fm10k.ko.xz) foi atualizado para a versão 0.27.1-k.
O driver Intel® Ethernet Connection E800 Series Linux (ice.ko.xz) foi atualizado para a versão 0.8.2-k.

Atualizações do driver de armazenamento

O driver SCSI Emulex LightPulse Fibre Channel (lpfc.ko.xz) foi atualizado para a versão 0:12.8.0.1.
O QLogic FCoE Driver (bnx2fc.ko.xz) foi atualizado para a versão 2.12.13.
O LSI MPT Fusion SAS 3.0 Device Driver (mpt3sas.ko.xz) foi atualizado para a versão 34.100.00.00.
O driver para a versão HP Smart Array Controller (hpsa.ko.xz) foi atualizado para a versão 3.4.20-170-RH5.
O QLogic Fibre Channel HBA Driver (qla2xxx.ko.xz) foi atualizado para a versão 10.01.00.25.08.3-k.
Broadcom MegaRAID SAS Driver (megaraid_sas.ko.xz) foi atualizado para a versão 07.714.04.00-rh1.

Atualizações gráficas e de drivers diversos

O driver autônomo drm para o dispositivo VMware SVGA (vmwgfx.ko.xz) foi atualizado para a versão 2.17.0.0.
Co-processador criptográfico para cartões Chelsio Terminator. (chcr.ko.xz) foi atualizado para a versão 1.0.0.0-ko.

Select Your Language

Capítulo 6. Lançamento RHEL 8.3.0

6.1. Novas características

6.1.1. Instalador e criação de imagem

6.1.2. RHEL para Edge

6.1.3. Gestão de software

6.1.4. Conchas e ferramentas de linha de comando

6.1.5. Serviços de infra-estrutura

6.1.6. Segurança

6.1.7. Trabalho em rede

6.1.8. Kernel

6.1.9. Sistemas de arquivo e armazenamento

6.1.10. Alta disponibilidade e clusters

6.1.11. Linguagens de programação dinâmica, servidores web e de banco de dados

6.1.12. Compiladores e ferramentas de desenvolvimento

6.1.13. Gestão da Identidade

6.1.14. Desktop

6.1.15. Infra-estruturas gráficas

6.1.16. O console web

6.1.17. Funções do Sistema Red Hat Enterprise Linux

6.1.18. Virtualização

6.1.19. RHEL em ambientes de nuvens

6.1.20. Contêineres

6.1.21. Novos motoristas

Drivers de rede

Drivers gráficos e drivers diversos

6.1.22. Drivers atualizados

Atualizações de driver de rede

Atualizações do driver de armazenamento

Atualizações gráficas e de drivers diversos

Quick Links

Help

Site Info

Related Sites

About

Red Hat legal and privacy links

Red Hat legal and privacy links

Language and Page Formatting Options

Capítulo 6. Lançamento RHEL 8.3.0

6.1. Novas características

6.1.1. Instalador e criação de imagem

6.1.2. RHEL para Edge

6.1.3. Gestão de software

6.1.4. Conchas e ferramentas de linha de comando

6.1.5. Serviços de infra-estrutura

6.1.6. Segurança

6.1.7. Trabalho em rede

6.1.8. Kernel

6.1.9. Sistemas de arquivo e armazenamento

6.1.10. Alta disponibilidade e clusters

6.1.11. Linguagens de programação dinâmica, servidores web e de banco de dados

6.1.12. Compiladores e ferramentas de desenvolvimento

6.1.13. Gestão da Identidade

6.1.14. Desktop

6.1.15. Infra-estruturas gráficas

6.1.16. O console web

6.1.17. Funções do Sistema Red Hat Enterprise Linux

6.1.18. Virtualização

6.1.19. RHEL em ambientes de nuvens

6.1.20. Contêineres

6.1.21. Novos motoristas

Drivers de rede

Drivers gráficos e drivers diversos

6.1.22. Drivers atualizados

Atualizações de driver de rede

Atualizações do driver de armazenamento

Atualizações gráficas e de drivers diversos

Quick Links

Help

Site Info

Related Sites

Systems Status

About

Red Hat legal and privacy links

Red Hat legal and privacy links